Beginnen wir damit, die Escape-Sequenzen zu entschlüsseln und den _0x8dd5 Variablennamen loszuwerden:
Wenn Sie die Zeichenfolge aus dem Array ersetzen, bleiben Sie bei:
%Vor%Also, was das Skript macht, ist einfach:
%Vor% i.e. Es lädt das Javascript http://ug-radio.co.cc/flood.js auf der Seite.
Betrachtet man das Skript in der geladenen Datei, nennt es sich "Wallflood By X-Cisadane". Es scheint, eine Liste Ihrer Freunde zu erhalten und eine Nachricht an (oder vielleicht von) allen von ihnen zu senden.
Sicherlich nichts mit automatischen Spielen für Spiele zu tun.
Ich habe den Firebug geöffnet und einen Teil des Skripts in die Konsole eingefügt (wobei ich darauf achten muss, dass nur der Teil eingefügt wird, der eine Variable erstellt hat, anstatt Code auszuführen). Das habe ich bekommen:
Was ich eingefügt habe:
%Vor%das Ergebnis:
%Vor%Kurz gesagt, wie das aussieht, ist ein Skript, um eine externe Javascript-Datei von einem entfernten Server mit einem sehr fragwürdigen Domainnamen zu laden.
Es gibt ein paar Zeichen, die nicht so konvertiert sind, wie Sie es erwarten würden. Dies könnte Tippfehler (unwahrscheinliche) oder absichtliche weitere Verschleierung sein, um einen automatisierten Malware-Checker nach Skripten zu suchen, die URLs oder Verweise auf createElement usw. enthalten. Der Rest des Skripts fügt diese Zeichen einzeln wieder an, bevor sie ausgeführt werden. p>
Der Variablenname _0x8dd5 wird ausgewählt, um look wie Hex-Code zu wirken und das Ganze schwerer lesbar zu machen, aber eigentlich ist es nur ein normaler Javascript-Variablenname. Es wird im Rest des Skripts wiederholt referenziert, während Zeichen von einem Teil des Strings in einen anderen kopiert werden, um die absichtlichen Lücken zu beheben.
Definitiv ein bösartiges Skript.
Ich empfehle es sofort zu brennen! ; -)
Nun, die deklarierte Var ist eigentlich das:
%Vor%Der Rest ist einfach herauszufinden.
Nun, Ihre erste Anweisung richtet ein Array mit ungefähr folgendem Inhalt ein:
%Vor%Ich sage "grob", weil ich die JavaScript-Konsole von Chrome zum Parsen der Daten verwende, und einige Dinge scheinen etwas verstümmelt zu sein. Ich habe die verstümmelten Teile so gut wie möglich aufgeräumt.
Der Rest scheint etwas wie folgt zu rufen:
%Vor%Im Grunde fügt es dem Dokument ein (wahrscheinlich bösartiges) Skript hinzu.
Sie wissen wahrscheinlich, wie Sie dies entschlüsseln können oder wie es codiert wurde, aber für diejenigen, die nicht sicher sind, ist es nichts als eine zweistellige hexadezimale Escape-Sequenz. Es könnte auch 4-stellig sein und \ Udddd (zB "\ u0032" ist "2") oder \ ddd für oktal.
verwendenTags und Links javascript