我刚刚收到的病毒看起来是这样的刚刚发送了一个JS病毒。我如何安全地显示输出?
<script type='text/javascript'>
<!--
var s="=nfub!iuuq.frvjw>#sfgsfti#!------REST OF PAYLOAD REMOVED-----?";
m="";
for (i=0; i<s.length; i++)
{
if(s.charCodeAt(i) == 28)
{
m+= '&';
}
else if
(s.charCodeAt(i) == 23)
{ m+= '!';}
else
{
m+=String.fromCharCode(s.charCodeAt(i)-1);
}}
document.write(m);//-->
</script>
我不是JS专家,但我想解密字符串的内容。你能告诉我改变document.write的最好方法,看看它在做什么?
只需创建一个<textarea id="foo"></textarea>,写
document.getElementsById('foo').value = m;
或者,你可以编码<和&到<和&并保持document.write。
仅供参考,有效载荷与
<meta http-equiv="refresh"
启动,这样看起来它只是将用户重定向到恶意网站。
@Maker:你是什么意思? – kennytm 2010-09-21 13:37:57
@KennyTM - 抱歉,我删除了我的n00b问题中的评论。现在有意义 – LamonteCristo 2010-09-21 13:42:10
是的,警报确实表示它将我重定向到恶意网站。谢谢! – LamonteCristo 2010-09-21 13:50:50
由于m是一个字符串,您可以用alert()替换document.write()。 Jsfiddle demo。
它似乎是创建一个元刷新标题,可能是为了将其注入当前HTML页面的头部,以重定向到不同的(恶意?)页面。
这就是我的想法,但只是想确定。我不想被感染...... – LamonteCristo 2010-09-21 13:34:54
不要运行它浏览器,而是尝试在FireBug中运行它(除了行 - 只需使用FireBug查看m变量的内容)。
大多数这些嵌入到您的网站的iframe
使用Malzilla来解码URL。 http://malzilla.sourceforge.net/
+1看起来像一个整洁,有用和复杂的同时。我在一个我信任的网站上工作。不知道所有的按钮做什么或者当我需要时。 – LamonteCristo 2010-09-22 00:11:46
这是一个非常简单的替代密码,B-> A等,如果你眯眯地看着它,你可以用手阅读它。 “meta!http.equiv> #refrefh#....” – 2010-09-21 14:08:28