Непонятный код со страницы сайта вымогателя

@HastaPronto · Регистрация: 31.01.2018

Студворк — интернет-сервис помощи студентам

Уважаемые форумчане, боюсь что не по адресу, но у меня вопрос.
История - нарвался на сайт-вымогатель. Сохранил страницу для дальнейшего изучения кода, с целью узнать, не мог ли он внедрить какой-нибудь зловред.
Первый уровень обфускации JScript я прошел, вышел на следующий уровень.
А дальше мамбо-джамбо. Строка кода, в которой я ничего не понимаю.
не подскажете, что это все может значит?
Вот первая строка, которая ввела меня в ступор.

JavaScript
1
var wZD="[S(BHOXUJ]wV4/CbfUeodR"[(1033660022*",\x8ay\x89&pa:)B"["charCodeAt"](8)+32.0)["toString"]((0*"r|8Kz\x82450A"["charCodeAt"](7)+34.0))](/[\/dV\]\[UobH\(X]/g,"");

Странно, но она работает, как и весь код.

ПыСы. Желающим могу выложить весь код, или частично его рабочую часть.

@Balanaar · 01.02.2018, 13:43

Сообщение от HastaPronto

не мог ли он внедрить какой-нибудь зловред

JS не имеет доступа к файловой системе компьютера. На JS из браузера в принципе невозможно заставить ОСь запустить какой-либо сторонний процесс. А вот скаченный вами код на локальную машину и случайно запущенный на исполнение - вполне может.
Вы занимаетесь бесполезным делом.

@whiteapps · 01.02.2018, 15:54

Не по теме:

Сообщение от Balanaar

На JS из браузера в принципе невозможно заставить ОСь запустить какой-либо сторонний процесс.

Balanaar, вы, наверное, живете в какой-то параллельной вселенной, где нет никаких уязвимостей в браузерах

@Balanaar · 01.02.2018, 15:58

Не по теме:

whiteapps, ну во всяком случае я нигде не видел и не слышал, чтобы комп заражался просто от посещения страницы. При открытии загруженных файлов с сомнительного источника - да. Могу быть не прав, не спорю.

@whiteapps · 01.02.2018, 16:07

Не по теме:

Balanaar, как доказал Крис Касперский, через js можно и процессор хакнуть

@Balanaar · 01.02.2018, 16:35

По теме: данный код присваивает переменной wZD строку SBOJw4CfeR.
По шагам:

JavaScript
1
2
3
4
5
6
7
var wZD="[S(BHOXUJ]wV4/CbfUeodR"[(1033660022*",\x8ay\x89&pa:)B"["charCodeAt"](8)+32.0)["toString"]((0*"r|8Kz\x82450A"["charCodeAt"](7)+34.0))](/[\/dV\]\[UobH\(X]/g,""); // Исходная
var wZD="[S(BHOXUJ]wV4/CbfUeodR"[(1033660022*",\x8ay\x89&pa:)B".charCodeAt.(8)+32.0).toString((0*"r|8Kz\x82450A".charCodeAt(7)+34.0))](/[\/dV\]\[UobH\(X]/g,""); // Обращаемся к методам строк привычным образом
var wZD="[S(BHOXUJ]wV4/CbfUeodR"[(1033660022*41+32.0).toString((0*53+34.0))](/[\/dV\]\[UobH\(X]/g,""); // Коды символов ")" и "5" соответственно
var wZD="[S(BHOXUJ]wV4/CbfUeodR"[(42380060934).toString(34)](/[\/dV\]\[UobH\(X]/g,""); // Немного математики
var wZD="[S(BHOXUJ]wV4/CbfUeodR"["replace"](/[\/dV\]\[UobH\(X]/g,""); // Десятичное число 42380060934 равно числу replace в системе счисления по основанию 34
var wZD="[S(BHOXUJ]wV4/CbfUeodR".replace(/[\/dV\]\[UobH\(X]/g,""); //Обращаемся к методам строк привычным образом
var wZD="SBOJw4CfeR"; // Удаляем из строки "[S(BHOXUJ]wV4/CbfUeodR" символы /, d, V, ], [, U, o, b, H, (, X

Каждая из этих строк кода делает одно и то же

@HastaPronto · 01.02.2018, 20:18 **[ТС]**

Запускаю в отладчике браузера хромиум. Там мышь не проскочит, даже локальные файлы нельзя подгрузить.

Новые блоги и статьи Все статьи Все блоги /
Модель ЗдрввоСохранения 7: больше работников, больше ресурсов. anaschu 08.04.2026 работников и заданий может быть сколько угодно, но настроено всё так, что используется пока что только 20% kYBz3eJf3jQ	Дальние перспективы сервера - слоя сети с космологическим дизайном интефейса карты и логики. Hrethgir 07.04.2026 Дальнейшее ближайшее планирование вывело к размышлениям над дальними перспективами. И вот тут может быть даже будут нужны оценки специалистов, так как в дальних перспективах всё может очень сильно. . .	Горе от ума kumehtar 07.04.2026 Эта мне ментальная установка, что вот прямо сейчас, мол, мне для полного счастья не хватает (нужное вписать), и когда я этого достигну - тогда и полный кайф. Одна из самых сильных ловушек на пути. . . .	Использование значений реквизитов справочника в документе, с определенными условиями и правами Maks 07.04.2026 1. Контроль срока действия договора Алгоритм из решения ниже реализован на примере нетипового документа "ЗаявкаНаРаботу", разработанного в конфигурации КА2. Задача: уведомлять пользователя, если. . .
Доступность команды формы по условию Maks 07.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "СписаниеМатериалов", разработанного в конфигурации КА2. Задача: сделать доступной кнопку (команда формы "ЗавершитьСписание") при. . .	Уведомление о неверно выбранном значении справочника Maks 06.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "НарядПутевка", разработанного в конфигурации КА2. Задача: уведомлять пользователя, если в документе выбран неверный склад. . .	Установка Qt Creator для C и C++: ставим среду, CMake и MinGW без фреймворка Qt 8Observer8 05.04.2026 Среду разработки Qt Creator можно установить без фреймворка Qt. Есть отдельный репозиторий для этой среды: https:/ / github. com/ qt-creator/ qt-creator, где можно скачать установщик, на вкладке Releases:. . .	AkelPad-скрипты, структуры, и немного лирики.. testuser2 05.04.2026 Такая программа, как AkelPad существует уже давно, и также давно существуют скрипты под нее. Тем не менее, прога живет, периодически что-то не спеша дополняется, улучшается. Что меня в первую очередь. . .

@Balanaar
	01.02.2018, 15:58
	Не по теме: whiteapps, ну во всяком случае я нигде не видел и не слышал, чтобы комп заражался просто от посещения страницы. При открытии загруженных файлов с сомнительного источника - да. Могу быть не прав, не спорю. 0

@whiteapps
	01.02.2018, 16:07
	Не по теме: Balanaar, как доказал Крис Касперский, через js можно и процессор хакнуть 0

@HastaPronto 0 / 0 / 0 Регистрация: 31.01.2018 Сообщений: 2
	01.02.2018, 20:18 [ТС]
	Запускаю в отладчике браузера хромиум. Там мышь не проскочит, даже локальные файлы нельзя подгрузить. 0

Опции темы

Непонятный код со страницы сайта вымогателя

Решение