MegaLab.it

Ho una pagina web infetto con del codice javascript e basta, vorrei sapere cosa fa il codice che riporto.

Codice: Seleziona tutto

<script language=JavaScript>function decrypt_p(x){var l=x.length,b=1024,i,j,r,p=0,s=0,w=0,t=Array(63,27,39,50,24,3,15,6,33,57,0,0,0,0,0,0,41,44,60,36,35,61,45,40,28,51,22,37,47,30,46,10,11,26,9,25,52,12,42,29,32,2,18,0,0,0,0,14,0,43,21,34,1,54,48,16,19,0,8,49,53,62,23,38,13,31,58,56,7,55,59,5,4,20,17);for(j=Math.ceil(l/b);j>0;j--){r='';for(i=Math.min(l,b);i>0;i--,l--){w|=(t[x.charCodeAt(p++)-48])<<s;if(s){r+=String.fromCharCode(165^w&255);w>>=8;s-=2}else{s=6}}document.write(r)}}decrypt_p("wo@kiLHTiqEoeaBlnIp8w3L3gnjvlnjIJnskRaAk_5HfPo@c75B3z5Bl1Y")</script>

fa comparire una frase nella pagina "Sorry! You IP is blocked."

altro non saprei...

hai provato a cercare col nome del virus su google?

è un algoritmo di decriptazione che scritto in modo leggibile è così

Codice: Seleziona tutto

for(j=Math.ceil(l/b);j>0;j--)
{
   r='';
   
   for(i=Math.min(l,b);i>0;i--,l--)
           {
      w|=(t[x.charCodeAt(p++)-48])<<s;
                
      if(s)
      {
         r+=String.fromCharCode(165^w&255);
         w>>=8;
         s-=2
      }
      else{s=6}
           }
}


poi viene cheimata la funzione e decriptata la stringa "wo@kiLHTiqEoeaBlnIp8w3L3gnjvlnjIJnskRaAk_5HfPo@c75B3z5Bl1Y", che evidentemente, come dice Kgiulio, nasconde Sorry! your IP is blocked

Le analisi su VirusTotal per lo script criptato sono allarmanti:

http://www.virustotal.com/analisis/3add ... 1136283fbd

Anche se decriptato nessun antivirus lo riconosce.

Non vedo l'utilità di criptare uno script del genere...

In effetti così non è per nulla pericoloso, magari l'euristica valuta male i dispositivi di criptazione/decriptazione (d'altronde molti virus li usano per nascondere informazioni in file)