Ok, jemand, der zufällig ein guter Freund von mir ist, schickt mir in letzter Zeit einige seltsame E-Mails, von denen eine auf eine Seite verweist, die Sie dazu auffordert, diese in Ihre Adresszeile in Ihrem Browser zu kopieren und dann auszuführen. ..
%Vor%Ich bin nicht ganz damit beschäftigt, wenn es um Low-Level-Programmierung geht. Ich bin neugierig, was die E-Mail hier verlangt ...
BITTE LASSEN SIE DIESEN CODE NUR WENN SIE GLÜCKLICH SIND, DASS SIE NICHT ALLES BRECHEN.
Aber ... Könnte mir jemand sagen, was es macht?
Ich habe den Code nicht vollständig entschlüsselt, aber hier sind ein paar Hinweise dazu.
Die Variable _0xc100 definiert ein Array von Strings. Die Zeichen sind hexadezimal codiert, so dass es schwieriger ist, sie zu lesen. So ist zum Beispiel \ x76 gleich "v".
Sie können sicher alert(_0xc100); verwenden, um es im Klartext anzuzeigen.
übersetzt in ein Array, das diese Schlüsselwörter enthält
%Vor%Nun verwenden die folgenden Anweisungen ( DIESE NICHT AUSFÜHREN ) diese Schlüsselwörter, um Funktionen tatsächlich auszuführen.
Zum Beispiel:
%Vor% entspricht ( d ist definiert als document und mw ist oben definiert)
verbirgt ein Element namens app125879300771588_mwrapper
Die folgenden Anweisungen geben
%Vor% kopiert den Inhalt von app125879300771588_jop in app125879300771588_jode
und
%Vor%Ich schätze, klickt auf "vorschlagen" -Button.
Schließlich setzt es 3 setTimeout-Funktionen, um 3 Befehle nach 5 Sekunden (die 5000) auszuführen
Sie übersetzen nach
%Vor%Was ich vermute, wählt alle deine Freunde aus ...
%Vor%... sende ihnen Einladungen
%Vor%... und drückt eine ähnliche Taste
Beachten Sie, dass ich Facebook nicht verwende, und ich weiß nicht, wie das geht, aber ich denke, es ist ziemlich klar, dass dieser Code bösartig ist.
Dies ist höchstwahrscheinlich eine Adaption eines von vielen Facebook Würmern, die sich an alle deine Freunde sendet.
Looke hier für eine ähnliche Frage.
Andere Versionen dieser Version verwendeten p.a.c.k.e.r zum Verschleiern, und diese konnten leicht entschlüsselt werden, indem der Code p.a.c.k.e.r über Ссылка
ausgeführt wurdeEs ist ein verschleiert Bookmarklet . Sie können es (vorsichtig) entschlüsseln, um das tatsächliche Javascript zu sehen, das es laufen lässt. Wenn Sie kein starkes Bedürfnis haben, ist es wahrscheinlich nicht wert, sich zu ärgern. Ich würde es aussortieren und mit meinem Freund überprüfen, ob es wirklich von ihm kommt, und wenn ja, warum.
Tags und Links javascript