Comment décrypter un fichier javascript
Je viens de découvrir un virus dans mon ordinateur qui utilise un .fichier js à l'attaque. J'ai ouvert le fichier dans le bloc-notes pour vérifier le code, mais il est totalement crypté. Je peux voir quelques données qui fait sens (comme bhynivmao.length!=4), mais la majorité du fichier est rempli avec du charabia.
Il y a aussi un autorun.inf et même si je peux voir une partie de la shell \open\command, je ne suis pas en mesure de comprendre le reste du charabia qui est présent.
Ressemble à la fois l'autorun et le .fichier js camouflés de la même façon. Quelqu'un peut-il m'aider à récupérer le code lisible? Je suis vraiment curieux de savoir comment ça fonctionne.
Essayez de poster le .js dans pastebin et de nous donner le lien.
partager le fichier js de sorte que certains d'entre nous peut le vérifier
Merci pour la réponse. Voici le lien pastebin à l'exécution automatique.fichier inf pastebin.ca/2376210 aussi, le lien pour le gc2c9c.js fichier appelé par l'autorun pastebin.ca/2376212 et un troisième fichier(icece.js) j'ai trouvé sur l'ordinateur. Les 2 autres ont été trouvés dans la clé USB. pastebin.ca/2376213 s'il vous Plaît prendre un coup d'oeil..
OriginalL'auteur Flipsyde | 2013-05-07
Vous devez vous connecter pour publier un commentaire.
Essayez d'utiliser quelque chose comme un JS formatage automatique de la requête:
http://jsbeautifier.org/
Il sera toujours garder les vieux noms de variables, mais va certainement rendre le code plus lisible.
Wow.. C'est plus lisible maintenant(Mais je n'ai toujours pas compris ce que fait le code). Ressemble à la fois icece.js et gc2c9c.js contiennent le même code. Voici le lien pastebin pour l'embellir code. pastebin.ca/2376219
OriginalL'auteur MMM
Vous pouvez également envisager d'utiliser http://jsnice.org, qui utilise l'analyse statistique de code pour identifier les noms de variables. Il complète http://jsbeautifier.org bien en modifiant les noms de variables, mais pas de la structure.
OriginalL'auteur Alexander Craggs