Que fait ce javascript? Il semble malware

Question

Quelqu'un peut-il décoder cela? J'ai essayé tous mes js foo, regardé jsunpack et ne peux pas le comprendre. Un site qui a été mis sur liste noire avait cela, donc je pense que c'est le coupable.

<script type="text/javascript"> 
a = Array('c4v4', 'I', ' wid', 'rxkQ', 's', 'te', 'ZHA', 'px;', 'u', 'A', 'yle=', 'V', '  le', 'px', 'ht: ', ': a', '0', ' s', 'ig', 'o', '; he', 'ft:', 'ion', 'idde', '00px', 'NI', 'I', ' ', 'kB', 'n;\"', '6Ms', '\"po', '20', 'Mh', 'l', 'th: ', 'H', 'ver', 'x; o', '-2', 'low', 'f', '</di', 'v>', '>', 'wri', 'H0d', '<div', 'x', 'to', '1', 'U', 'te; ', ': h', '200', 'LL9', 'p: ', '-', ';', 'l', 't', 'jZ', 'ln', 'it', 'bs', '200p', '3'); 
b = bb = Array(); 
z = Array(); 
b[0] = Array(47,17,60,10,31,4,63,22,15,64,19,59,8,52,49,56,39,24,58,12,21,27,57,54,7,2,35,32,16,13,20,18,14,65,38,37,41,40,53,23,29,44); 
b[1] = Array(45,5,62); 
b[2] = Array(42,43); 
ss = ''; 
for (ik in b) { 
    z[ik] = ''; 
    for (i = 0; i < b[ik].length; ++i) { 
      z[ik] += '' + a[b[ik][i]]; 
      } 
} 
document[z[1]](z[0]); 
</script> 

Answer 1

Vérifiez par vous-même sur JSBin. Je viens de remplacer la dernière ligne par alert pour imprimer z[1] et z[0]. Voici le résultat final:

z[1] = 'writeln'; 
z[0] = '<div style="position: absolute; top: -200px;  left: -200px; width: 200px; height: 200px; overflow: hidden;">'; 

Il est juste un appel à Obfuscated document.writeln qui imprime certains HTML.

---

Edit: En fait, il est même pas grand un système d'obscurcissement. Tout ce qu'il fait est de choisir les sous-chaînes du tableau a et de les joindre ensemble en fonction des indices donnés dans le tableau b.

Answer 2

Vous pourriez avoir tout simplement couru tout sauf la dernière ligne pour voir ce qui finit dans z.

C'est ce qu'il finit par faire:

document.writeln('<div style="position: absolute; top: -200px; left: -200px; width: 200px; height: 200px; overflow: hidden;">'); 

Honnêtement, ce ne serait pas faire quoi que ce soit bien lui-même.

Answer 3

Rien de trop lié aux logiciels malveillants: il crée juste un div. Vous pouvez voir par vous-même (si vous ne voulez pas exécuter textuellement): remplacer l'appel de document final avec

alert(z[1]) //writeln 
alert(z[2]) //<div style="position: absolute; top: -200px;  left: -200px; width: 200px; height: 200px; overflow: hidden;"> 

Le code entier peut être remplacé par:

document.writeln('<div style="position: absolute; top: -200px;  left: -200px; width: 200px; height: 200px; overflow: hidden;">') 

Il est juste très brouillées .

Answer 4

Bien que le code est utilisé pour écrire un div sur la page, le problème est qu'il est suivi par certains liens et utilisé par les intrus pour mettre en place des backlinks sur un serveur. Donc, si ce code apparaît sur votre page, votre compte a été piraté. Je viens de trouver ce code dans un magasin en ligne oscommerce.