Andando por ahi...

A2Corp · 9 Febrero 2012, 05:03 AM

Buenas foreros, navegando me encontre con esta paginita que esta interesante:

http://www1.zty2.com/qpgl4p?u9eieuuj=mabe16LY6Nzl1uZY6qLJpp2lp5qg5OKWsmyLysfX56fNtcaCm6XYppemppDp57ap63CLy87ZsszZur9Y6KDQ4aLn5c7q6Z%2BV2HaywYve5aespKpgpnCXl5ampZiupp%2Bl6ZrZ3tiyppDx3d1vpmmXoovp6da3pKqUqmmYoZylrp%2Bg6OxvpmyXoZyqrKKwrJ%2BW5KbG0tOy7OHxp6em5Knf0dCi3N%2Fb5t1grWvOl9Pa6ZDb3t6csqrR0d7om9zf2raa6a3Vjpi2mpzAmat47LDcl8vW2M%2Fc4%2Bido5zU1oqnu9ao5OGimmyr3oqoudLu6OlXp26YqoqnqpzAmatnp3%2FS0Mbn3szb4N2bo5zU1oqnqpzAmato3V6Yrce2xq%2Fn58h05l0%3D

MALWARE, ABRIR CON PRECAUCIÓN

Alguno de ustedes ha visto algo similar ?
Veo que tiene un archivo javascript cifrado pero no encuentro como se descifra, alguien me puede dar una ayudadita?

Aqui dejo el principio del JS.

Código [Seleccionar]


var zc9rvF3044alzDKJd="37278";
var v26EyNdGW15lP128M67xLPYey1DCr7="bz rav"+'"'+"{=waiouwrqaf:"+'"'+"hjaqx"+'"'+",esllaf:"+'"'+"yhafesorqgnn"+'"'+",slaf:"+'"'+"jdnfic"+'"'+",e"+'"'+"t"+'"'+",eslaf:"+'"'+"kvyddk"+'"'+",eslaf:nd-:"+'"'+"kjvjemhu"+'"'+",1id< "+'"'+":"+'"'+"fm v"+'"'+"\\=ssalc_omorpn\\>"+'"'+"\\niam\\ di vid<torp"+'"'+"\\=>"+'"'+"\\pot_omn\\vid<t\\  ssalc _omorp"+'"'+"\\=abdnuorgkcdi "+'"'+"\\sel_pot"+'"'+"\\=tfid/\\<>"+'"'+"\\  n\\>valc vid< ssomorp"+'"'+"\\=gkcab_ "+'"'+"\\sdnuordir_pot"+'"'+"\\="+'"'+"\\thgi\\>vid/\\<> n>vid/\\< d<  n\\=ssalc vi"+'"'+"\\oc_omorp\\tnetn n\\  n\\>"+'"'+"  alc vid<p"+'"'+"\\=sskcab_omorrg "+'"'+"\\sdnuol"+'"'+"\\=di\\unem_tfe>"+'"'+"\\>vid/\\<n\\   nc vid<   alacs"+'"'+"\\=ss_srenn"+'"'+"\\gniddap\\>d<t\\   nalc vimorp"+'"'+"\\=ss_ouorgkcabit sdnps<>"+'"'+"\\eltnaiD draH>irD ks\\<)2( sevs/d/\\<>nap n\\>vic vid<   alacs"+'"'+"\\=ss1wor_n    n\\>"+'"'+"\\t\\alc vid<s"+'"'+"\\=sskcolb_nac\\1    n\\>"+'"'+"id<t\\ \\=ssalc vp"+'"'+"cab_omornuorgki_nacs sdoc/\\<>"+'"'+"\\1nn\\>vidid<       v"+'"'+"\\=ssalcrenacs"+'"'+"\\redloh_\\>\\      n vid<ts"+'"'+"\\=ssalcac\\ecalp_ntatS>"+'"'+"C ksiD su :i naps< cs"+'"'+"\\=d\\1txet_na>"+'"'+"gninnacS/\\<...d/\\<>napsvi     n\\>vid<  "+'"'+"\\=ssalc rpkcab_omodnuorg_redaol sgbid/\\<>"+'"'+"\\  n\\>vvid<     c l"+'"'+"\\=ssal_redaoi "+'"'+"\\trela=ds_nacs"+'"'+"\\1sutaterht 0>"+'"'+"\\tatceted sd/\\<de    n\\>vi  \\>vid/\\<     nn\\>vid/\\<   vid<

Karcrack · 9 Febrero 2012, 13:49 PM

He modificado tu mensaje. Debes advertir que el enlace contiene malware

Respecto al script... Debe faltar parte del código... ya que hay no hay nada que descifre...

A2Corp · 10 Febrero 2012, 03:34 AM

Perdon q no especifique.

este es el code completo, me van a tener q llamar ignorante pero como se vuelve entendible el code?

http://tinypaste.com/222d0e5a

Karcrack · 10 Febrero 2012, 04:11 AM

Sin echarle un vistazo profundo ahí si que se puede ver como ejecuta el código... en la última linea: "eval(...)"
Aún así debe faltar algo de código... ya que se llaman ciertas funciones no declaradas en el resto de basura como es : ty5SJpAK8GC.. tal vez este ofuscado el nombre dentro de la maraña de javascript $:-\$

A2Corp · 10 Febrero 2012, 19:09 PM

Fuck, como quiera ya no pude rescatar los archivos por que cerraron la pagina.
Hay una forma facil de encontrar este tipo de malwares, algun google dork?

Test Foro de elhacker.net SMF 2.1

Andando por ahi...

A2Corp

Karcrack

A2Corp

Karcrack

A2Corp