1

私の友人はペンドライブにこの奇妙なコードを持っていました (おそらく彼のコンピューター上のマルウェアによって置かれました)。私が興味を持ったのは、問題のコードが難読化された Javascript (脆弱なホストに感染した可能性があるための難読化された autorun.inf の一部) で記述されていることです。彼のペンドライブでは、マルウェアは見つかりませんでした)。

問題のプログラムは、ペンドライブの 77 フォルダーにあり、2 つのコピーがあり (まったく同じでした)、それぞれのファイル名は多少ランダムです (以下を参照)。autorun.inf は明らかにルートにあります。

誰かがこのコードが何をするのか説明できますか? 私が行った唯一の変更は、jsbeautifier.org を使用してこのコードをインデントすることです (以前は 1 行のコードでした)。

メインプログラム (77/g66ac.js & 77/i6a6a.js): http://pastebin.com/uj0xSV1e

autorun.inf: http://pastebin.com/Aqnmtiq6

申し訳ありませんが、文字数制限に違反しているため、このトピックにコード全体を投稿できなかったため、ペーストビンに配置する必要がありました。

4

2 に答える 2

2

これはある種の失敗です。おそらくフィッシングまたはランサムウェアのリダイレクトであると思われるものでドキュメントを書き換えようとしていますが、正しく機能しません。

[object htmldocument]kpxrvigĥti$b̯̐̑f= "";(functioʜrşnpqpq、rycgyjqpq、rycggoq˘˳ƶ̓ǔɤäsšî̓şqpq= rycglpqpq(rycgnp˵q)、rcpq =rycglà˳#®1851daby(rcgfcpqpqpqpqpqpq)オシュ392d4̭ȩʞ™™}catchł̓粉}}˳˳’ʁƙʟ̯uȫuȫ¯ƶĥ̒ǔuɇ¯ƶʒ¯ƶʒsšion(rycgwǰ˵ǰ˵āq){rycǔʞȍ˵ǔʞȍ˵っと˴ "" "; ; rycgdzqpq.lenǔǮǒZuȨƴ,2ƴɇ±w̓şǔ ʞ˵˘.lengtǮéʞ¯Ƶ˙̒ȍʞǑǰromCharĈʻżƗǰĥ˘˘ɥŁtrinǑrycgdz˵˘)}) を返します。

于 2013-09-05T20:18:03.773 に答える