Непонятный код со страницы сайта вымогателя

@HastaPronto · Регистрация: 31.01.2018

Студворк — интернет-сервис помощи студентам

Уважаемые форумчане, боюсь что не по адресу, но у меня вопрос.
История - нарвался на сайт-вымогатель. Сохранил страницу для дальнейшего изучения кода, с целью узнать, не мог ли он внедрить какой-нибудь зловред.
Первый уровень обфускации JScript я прошел, вышел на следующий уровень.
А дальше мамбо-джамбо. Строка кода, в которой я ничего не понимаю.
не подскажете, что это все может значит?
Вот первая строка, которая ввела меня в ступор.

JavaScript
1
var wZD="[S(BHOXUJ]wV4/CbfUeodR"[(1033660022*",\x8ay\x89&pa:)B"["charCodeAt"](8)+32.0)["toString"]((0*"r|8Kz\x82450A"["charCodeAt"](7)+34.0))](/[\/dV\]\[UobH\(X]/g,"");

Странно, но она работает, как и весь код.

ПыСы. Желающим могу выложить весь код, или частично его рабочую часть.

@Balanaar · 01.02.2018, 13:43

Сообщение от HastaPronto

не мог ли он внедрить какой-нибудь зловред

JS не имеет доступа к файловой системе компьютера. На JS из браузера в принципе невозможно заставить ОСь запустить какой-либо сторонний процесс. А вот скаченный вами код на локальную машину и случайно запущенный на исполнение - вполне может.
Вы занимаетесь бесполезным делом.

@whiteapps · 01.02.2018, 15:54

Не по теме:

Сообщение от Balanaar

На JS из браузера в принципе невозможно заставить ОСь запустить какой-либо сторонний процесс.

Balanaar, вы, наверное, живете в какой-то параллельной вселенной, где нет никаких уязвимостей в браузерах

@Balanaar · 01.02.2018, 15:58

Не по теме:

whiteapps, ну во всяком случае я нигде не видел и не слышал, чтобы комп заражался просто от посещения страницы. При открытии загруженных файлов с сомнительного источника - да. Могу быть не прав, не спорю.

@whiteapps · 01.02.2018, 16:07

Не по теме:

Balanaar, как доказал Крис Касперский, через js можно и процессор хакнуть

@Balanaar · 01.02.2018, 16:35

По теме: данный код присваивает переменной wZD строку SBOJw4CfeR.
По шагам:

JavaScript
1
2
3
4
5
6
7
var wZD="[S(BHOXUJ]wV4/CbfUeodR"[(1033660022*",\x8ay\x89&pa:)B"["charCodeAt"](8)+32.0)["toString"]((0*"r|8Kz\x82450A"["charCodeAt"](7)+34.0))](/[\/dV\]\[UobH\(X]/g,""); // Исходная
var wZD="[S(BHOXUJ]wV4/CbfUeodR"[(1033660022*",\x8ay\x89&pa:)B".charCodeAt.(8)+32.0).toString((0*"r|8Kz\x82450A".charCodeAt(7)+34.0))](/[\/dV\]\[UobH\(X]/g,""); // Обращаемся к методам строк привычным образом
var wZD="[S(BHOXUJ]wV4/CbfUeodR"[(1033660022*41+32.0).toString((0*53+34.0))](/[\/dV\]\[UobH\(X]/g,""); // Коды символов ")" и "5" соответственно
var wZD="[S(BHOXUJ]wV4/CbfUeodR"[(42380060934).toString(34)](/[\/dV\]\[UobH\(X]/g,""); // Немного математики
var wZD="[S(BHOXUJ]wV4/CbfUeodR"["replace"](/[\/dV\]\[UobH\(X]/g,""); // Десятичное число 42380060934 равно числу replace в системе счисления по основанию 34
var wZD="[S(BHOXUJ]wV4/CbfUeodR".replace(/[\/dV\]\[UobH\(X]/g,""); //Обращаемся к методам строк привычным образом
var wZD="SBOJw4CfeR"; // Удаляем из строки "[S(BHOXUJ]wV4/CbfUeodR" символы /, d, V, ], [, U, o, b, H, (, X

Каждая из этих строк кода делает одно и то же

@HastaPronto · 01.02.2018, 20:18 **[ТС]**

Запускаю в отладчике браузера хромиум. Там мышь не проскочит, даже локальные файлы нельзя подгрузить.

Новые блоги и статьи Все статьи Все блоги /
Уведомление о неверно выбранном значении справочника Maks 06.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "НарядПутевка", разработанного в конфигурации КА2. Задача: уведомлять пользователя, если в документе выбран неверный склад. . .	Установка Qt Creator для C и C++: ставим среду, CMake и MinGW без фреймворка Qt 8Observer8 05.04.2026 Среду разработки Qt Creator можно установить без фреймворка Qt. Есть отдельный репозиторий для этой среды: https:/ / github. com/ qt-creator/ qt-creator, где можно скачать установщик, на вкладке Releases:. . .	AkelPad-скрипты, структуры, и немного лирики.. testuser2 05.04.2026 Такая программа, как AkelPad существует уже давно, и также давно существуют скрипты под нее. Тем не менее, прога живет, периодически что-то не спеша дополняется, улучшается. Что меня в первую очередь. . .	Отображение реквизитов в документе по условию и контроль их заполнения Maks 04.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "ПланированиеСпецтехники", разработанного в конфигурации КА2. Данный документ берёт данные из другого нетипового документа. . .
Фото всей Земли с борта корабля Orion миссии Artemis II kumehtar 04.04.2026 Это первое подобное фото сделанное человеком за 50 лет. Снимок называют новым вариантом легендарной фотографии «The Blue Marble» 1972 года, сделанной с борта корабля «Аполлон-17». Новое фото. . .	Вывод диалогового окна перед закрытием, если документ не проведён Maks 04.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "СписаниеМатериалов", разработанного в конфигурации КА2. Задача: реализовать программный контроль на предмет проведения документа. . .	Программный контроль заполнения реквизитов табличной части документа Maks 02.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "СписаниеМатериалов", разработанного в конфигурации КА2. Задача: 1. Реализовать контроль заполнения реквизита. . .	wmic не является внутренней или внешней командой Maks 02.04.2026 Решение: DISM / Online / Add-Capability / CapabilityName:WMIC~~~~ Отсюда: https:/ / winitpro. ru/ index. php/ 2025/ 02/ 14/ komanda-wmic-ne-naydena/

@Balanaar
	01.02.2018, 15:58
	Не по теме: whiteapps, ну во всяком случае я нигде не видел и не слышал, чтобы комп заражался просто от посещения страницы. При открытии загруженных файлов с сомнительного источника - да. Могу быть не прав, не спорю. 0

@whiteapps
	01.02.2018, 16:07
	Не по теме: Balanaar, как доказал Крис Касперский, через js можно и процессор хакнуть 0

@HastaPronto 0 / 0 / 0 Регистрация: 31.01.2018 Сообщений: 2
	01.02.2018, 20:18 [ТС]
	Запускаю в отладчике браузера хромиум. Там мышь не проскочит, даже локальные файлы нельзя подгрузить. 0

Непонятный код со страницы сайта вымогателя

Решение