我剛剛收到的病毒看起來是這樣的剛剛發送了一個JS病毒。我如何安全地顯示輸出?
<script type='text/javascript'>
<!--
var s="=nfub!iuuq.frvjw>#sfgsfti#!------REST OF PAYLOAD REMOVED-----?";
m="";
for (i=0; i<s.length; i++)
{
if(s.charCodeAt(i) == 28)
{
m+= '&';
}
else if
(s.charCodeAt(i) == 23)
{ m+= '!';}
else
{
m+=String.fromCharCode(s.charCodeAt(i)-1);
}}
document.write(m);//-->
</script>
我不是JS專家,但我想解密字符串的內容。你能告訴我改變document.write的最好方法,看看它在做什麼?
只需創建一個<textarea id="foo"></textarea>,寫
document.getElementsById('foo').value = m;
或者,你可以編碼<和&到<和&並保持document.write。
僅供參考,有效載荷與
<meta http-equiv="refresh"
啓動,這樣看起來它只是將用戶重定向到惡意網站。
@Maker:你是什麼意思? – kennytm 2010-09-21 13:37:57
@KennyTM - 抱歉,我刪除了我的n00b問題中的評論。現在有意義 – LamonteCristo 2010-09-21 13:42:10
是的,警報確實表示它將我重定向到惡意網站。謝謝! – LamonteCristo 2010-09-21 13:50:50
由於m是一個字符串,您可以用alert()替換document.write()。 Jsfiddle demo。
它似乎是創建一個元刷新標題,可能是爲了將其注入當前HTML頁面的頭部,以重定向到不同的(惡意?)頁面。
這就是我的想法,但只是想確定。我不想被感染...... – LamonteCristo 2010-09-21 13:34:54
不要運行它瀏覽器,而是嘗試在FireBug中運行它(除了行 - 只需使用FireBug查看m變量的內容)。
大多數這些嵌入到您的網站的iframe
使用Malzilla來解碼URL。 http://malzilla.sourceforge.net/
+1看起來像一個整潔,有用和複雜的同時。我在一個我信任的網站上工作。不知道所有的按鈕做什麼或者當我需要時。 – LamonteCristo 2010-09-22 00:11:46
這是一個非常簡單的替代密碼,B-> A等,如果你眯眯地看着它,你可以用手閱讀它。 「meta!http.equiv> #refrefh#....」 – 2010-09-21 14:08:28