Непонятный код со страницы сайта вымогателя

@HastaPronto · Регистрация: 31.01.2018

Author24 — интернет-сервис помощи студентам

Уважаемые форумчане, боюсь что не по адресу, но у меня вопрос.
История - нарвался на сайт-вымогатель. Сохранил страницу для дальнейшего изучения кода, с целью узнать, не мог ли он внедрить какой-нибудь зловред.
Первый уровень обфускации JScript я прошел, вышел на следующий уровень.
А дальше мамбо-джамбо. Строка кода, в которой я ничего не понимаю.
не подскажете, что это все может значит?
Вот первая строка, которая ввела меня в ступор.

Javascript

1	var wZD="[S(BHOXUJ]wV4/CbfUeodR"[(1033660022",\x8ay\x89&pa:)B"["charCodeAt"](8)+32.0)["toString"]((0"r\|8Kz\x82450A"["charCodeAt"](7)+34.0))](/[\/dV\]\[UobH\(X]/g,"");

Странно, но она работает, как и весь код.

ПыСы. Желающим могу выложить весь код, или частично его рабочую часть.

@Balanaar · 01.02.2018, 13:43

Сообщение от HastaPronto

не мог ли он внедрить какой-нибудь зловред

JS не имеет доступа к файловой системе компьютера. На JS из браузера в принципе невозможно заставить ОСь запустить какой-либо сторонний процесс. А вот скаченный вами код на локальную машину и случайно запущенный на исполнение - вполне может.
Вы занимаетесь бесполезным делом.

@whiteapps · 01.02.2018, 15:54

Не по теме:

Сообщение от Balanaar

На JS из браузера в принципе невозможно заставить ОСь запустить какой-либо сторонний процесс.

Balanaar, вы, наверное, живете в какой-то параллельной вселенной, где нет никаких уязвимостей в браузерах

@Balanaar · 01.02.2018, 15:58

Не по теме:

whiteapps, ну во всяком случае я нигде не видел и не слышал, чтобы комп заражался просто от посещения страницы. При открытии загруженных файлов с сомнительного источника - да. Могу быть не прав, не спорю.

@whiteapps · 01.02.2018, 16:07

Не по теме:

Balanaar, как доказал Крис Касперский, через js можно и процессор хакнуть

@Balanaar · 01.02.2018, 16:35

По теме: данный код присваивает переменной wZD строку SBOJw4CfeR.
По шагам:

Javascript

var wZD="[S(BHOXUJ]wV4/CbfUeodR"[(1033660022*",\x8ay\x89&pa:)B"["charCodeAt"](8)+32.0)["toString"]((0*"r|8Kz\x82450A"["charCodeAt"](7)+34.0))](/[\/dV\]\[UobH\(X]/g,""); // Исходная
var wZD="[S(BHOXUJ]wV4/CbfUeodR"[(1033660022*",\x8ay\x89&pa:)B".charCodeAt.(8)+32.0).toString((0*"r|8Kz\x82450A".charCodeAt(7)+34.0))](/[\/dV\]\[UobH\(X]/g,""); // Обращаемся к методам строк привычным образом
var wZD="[S(BHOXUJ]wV4/CbfUeodR"[(1033660022*41+32.0).toString((0*53+34.0))](/[\/dV\]\[UobH\(X]/g,""); // Коды символов ")" и "5" соответственно
var wZD="[S(BHOXUJ]wV4/CbfUeodR"[(42380060934).toString(34)](/[\/dV\]\[UobH\(X]/g,""); // Немного математики
var wZD="[S(BHOXUJ]wV4/CbfUeodR"["replace"](/[\/dV\]\[UobH\(X]/g,""); // Десятичное число 42380060934 равно числу replace в системе счисления по основанию 34
var wZD="[S(BHOXUJ]wV4/CbfUeodR".replace(/[\/dV\]\[UobH\(X]/g,""); //Обращаемся к методам строк привычным образом
var wZD="SBOJw4CfeR"; // Удаляем из строки "[S(BHOXUJ]wV4/CbfUeodR" символы /, d, V, ], [, U, o, b, H, (, X

Каждая из этих строк кода делает одно и то же

@HastaPronto · 01.02.2018, 20:18 **[ТС]**

Запускаю в отладчике браузера хромиум. Там мышь не проскочит, даже локальные файлы нельзя подгрузить.

@Balanaar 2454 / 1761 / 624 Регистрация: 11.07.2016 Сообщений: 4,051
	01.02.2018, 13:43	2
	Сообщение от HastaPronto не мог ли он внедрить какой-нибудь зловред JS не имеет доступа к файловой системе компьютера. На JS из браузера в принципе невозможно заставить ОСь запустить какой-либо сторонний процесс. А вот скаченный вами код на локальную машину и случайно запущенный на исполнение - вполне может. Вы занимаетесь бесполезным делом. 0

@whiteapps
	01.02.2018, 15:54 #3
	Не по теме: Сообщение от Balanaar На JS из браузера в принципе невозможно заставить ОСь запустить какой-либо сторонний процесс. Balanaar, вы, наверное, живете в какой-то параллельной вселенной, где нет никаких уязвимостей в браузерах 0

@Balanaar
	01.02.2018, 15:58 #4
	Не по теме: whiteapps, ну во всяком случае я нигде не видел и не слышал, чтобы комп заражался просто от посещения страницы. При открытии загруженных файлов с сомнительного источника - да. Могу быть не прав, не спорю. 0

@whiteapps
	01.02.2018, 16:07 #5
	Не по теме: Balanaar, как доказал Крис Касперский, через js можно и процессор хакнуть 0

@HastaPronto 0 / 0 / 0 Регистрация: 31.01.2018 Сообщений: 2
	01.02.2018, 20:18 [ТС]	7
	Запускаю в отладчике браузера хромиум. Там мышь не проскочит, даже локальные файлы нельзя подгрузить. 0

Непонятный код со страницы сайта вымогателя

Решение