Fatal编程技术网
  • javascript/
  • 这段javascript是做什么的?它看起来像恶意软件

这段javascript是做什么的?它看起来像恶意软件

javascript

这段javascript是做什么的?它看起来像恶意软件,javascript,obfuscation,malware,Javascript,Obfuscation,Malware,有人能破解吗?我尝试了我所有的js-foo,查看了jsunpack,却无法理解。一个被列入黑名单的网站就是这样的,所以我认为这就是罪魁祸首 <script type="text/javascript"> a = Array('c4v4', 'I', ' wid', 'rxkQ', 's', 'te', 'ZHA', 'px;', 'u', 'A', 'yle=', 'V', ' le', 'px', 'ht: ', ': a', '0', ' s', 'ig', 'o

有人能破解吗?我尝试了我所有的js-foo,查看了jsunpack,却无法理解。一个被列入黑名单的网站就是这样的,所以我认为这就是罪魁祸首

<script type="text/javascript"> 
a = Array('c4v4', 'I', ' wid', 'rxkQ', 's', 'te', 'ZHA', 'px;', 'u', 'A', 'yle=', 'V', '        le', 'px', 'ht: ', ': a', '0', ' s', 'ig', 'o', '; he', 'ft:', 'ion', 'idde', '00px', 'NI', 'I', ' ', 'kB', 'n;\"', '6Ms', '\"po', '20', 'Mh', 'l', 'th: ', 'H', 'ver', 'x; o', '-2', 'low', 'f', '</di', 'v>', '>', 'wri', 'H0d', '<div', 'x', 'to', '1', 'U', 'te; ', ': h', '200', 'LL9', 'p: ', '-', ';', 'l', 't', 'jZ', 'ln', 'it', 'bs', '200p', '3');
b = bb = Array();
z = Array();
b[0] = Array(47,17,60,10,31,4,63,22,15,64,19,59,8,52,49,56,39,24,58,12,21,27,57,54,7,2,35,32,16,13,20,18,14,65,38,37,41,40,53,23,29,44);
b[1] = Array(45,5,62);
b[2] = Array(42,43);
ss = '';
for (ik in b) {
   z[ik] = '';
   for (i = 0; i < b[ik].length; ++i) {
             z[ik] += '' + a[b[ik][i]];
           }
}
document[z[1]](z[0]);
</script> 



a=数组('c4v4','I','wid','rxkQ','s','te','ZHA','px;','u','a','yle','V','le','px','ht:',':a','0','s','ig','o','he','ft:','ion','idde','00px NI I','kB','n;\','6Ms','在这里,你自己检查一下。我刚刚用
警报
s替换了最后一行,打印出
z[1]
z[0]


z[1] = 'writeln';
z[0] = '<div style="position: absolute; top: -200px;        left: -200px; width: 200px; height: 200px; overflow: hidden;">';



z[1]=“writeln”;
z[0]='';


它只是对
document.writeln
的一个模糊调用,用于打印一些HTML




编辑:事实上,它甚至不是一个很好的模糊处理方案。它所做的只是从数组
a
中选取子字符串,并根据数组
b
中给出的索引将它们连接在一起。你可以运行所有的程序,但最后一行除外,以查看
z
中的结果

这就是它最终要做的:


document.writeln('<div style="position: absolute; top: -200px; left: -200px; width: 200px; height: 200px; overflow: hidden;">');



document.writeln(“”);



老实说,这本身不会做太多事情。
没有太多恶意软件相关的东西:它只是创建了一个div。您可以自己查看(如果不想逐字运行):将最后的文档调用替换为


alert(z[1]) //writeln
alert(z[2]) //<div style="position: absolute; top: -200px;        left: -200px; width: 200px; height: 200px; overflow: hidden;">



alert(z[1])//writeln
警报(z[2])//


整个代码可以替换为:


document.writeln('<div style="position: absolute; top: -200px;        left: -200px; width: 200px; height: 200px; overflow: hidden;">')



document.writeln(“”)



它只是非常模糊。
虽然该代码用于在页面上写入div,但问题是它后面有某些链接,入侵者使用这些链接在服务器上设置反向链接。因此,如果此代码出现在您的页面上,您的帐户已被黑客攻击。我刚刚在oscommerce在线商店中发现此代码。
请提供更多详细信息尾巴和解释,而不是简单地得出结论