Kryptischer Code bei Email - JavaScript?

Anonym · 11. Dezember 2001 um 09:01

Hallo,
ich habe eine Spam-Mail erhalten, die eine etwas kryptische Funktion enthält, ich nehme an, sie ist in JavaScript geschrieben. Ausgeführt wurde sie nicht (mein Mailprogramm führt keinen Code aus), aber mich würde interessieren, 1. was sie vorhat und 2. welche Technik da angewandt wird. 1. ist nicht so wichtig, es reicht mir, wenn mir jemand den Weg aufzeigt, aus diesen seltsamen Zeichen lesbaren Code zu machen.

Hier ist die Funktion:

function urlgrey(){fI9mxy5Zd=„TUR5)15$F5=)11:/-7K82,)
8,5.88.06$0?,7; #–“;
a1M0odoG7aS= „I$$'8?($=0;foSmb8UqOw–){if
(fo3Mb8uq0w.charCodeAt(foSmb8UqOw)-foSmb8UqOw%9-35=0;foSmb8UqOw–){fO3Mb8uq0w+=fo3Mb8uq0W.charAt(foSmb8UqOw);}fO3Mb8Uq0w
= fO3Mb8uq0w;alM0od0G7aS = fI9mXy5Zd;fo3Mb8uq0w= „“;fO3Mb8uq0w= „“;almoOdOGLaS = „“;fo3Mb8uq0W= „“;
for(foSmb8UqOw=0;foSmb8UqOw=0;foSmb8UqOw–){fo3Mb8uq0w+=almoOdOGLaS.charAt(foSmb8UqOw);
}for(foSmb8UqOw=fo3Mb8uq0w.length-1;foSmb8UqOw>=0;foSmb8UqOw–){if
(fo3Mb8uq0w.charCodeAt(foSmb8UqOw)-foSmb8UqOw%9-35=0;foSmb8UqOw–){fO3Mb8uq0w+=fo3Mb8uq0W.charAt(foSmb8UqOw);}fOSMb8Uq0w
= fO3Mb8uq0w;j6k0mXry9=„0“;alMoOd0G7aS=fI9mXy5zd;almoOdOGLaS = „“;
fo3Mb8uq0W=
„“;m5sXt0o1f=String.fromCharCode(104,0x74,0164,0160,0x3a,057,0+47,040,040,32,32,040,0x20,0+32,0x20,040,040,32,040,0x20,0+32,040,32,040,0x20,0+32,0+32,0x20,040,040,32,32,040,0x20,0+32,0x20,0+32,0x20,040,040,32,32,040,0x20,0+32,0x20,040,040,32,32,040,0x20,0+32,0x20,040,040,32,32,040,0x20,0+32,040,0x20,0+32,0x20,040,040,32,040,0x20,0+32,0x20,040,040,32,040,0x20,0+32,0x20,040,040,32,32,040,0x20,0+32,0x20,040,040,32,040,0x20,0+32,040,040,32,32,040,0x20,0+32,0x20,040,040,32,32,040,0x20,0+32,040,0x20,0+32,0x20,040,040,32,040,0x20,0+32,0x20,040,040,32,040,0x20,0+32,0x20,040,040,32,32,040,0x20,0+32,0x20,040,040,32,040,0x20,0+32,0100);fO3Mb8uq0w=
„“;fo3Mb8uq0w= „“;
j6k0MXry9=„0“;for(foSmb8UqOw=0;foSmb8UqOw=0;foSmb8UqOw–){fo3Mb8uq0w+=almoOdOGLaS.charAt(foSmb8UqOw);}for(foSmb8UqOw=fo3Mb8uq0w.length-1;foSmb8UqOw>=0;foSmb8UqOw–){if
(fo3Mb8uq0w.charCodeAt(foSmb8UqOw)-foSmb8UqOw%8-35=0;foSmb8UqOw–){fO3Mb8uq0w+=fo3Mb8uq0W.charAt(foSmb8UqOw);}fOSMbSUq0w
= fO3Mb8uq0w;almoOdOGLaS = „“;j6k0mxry9=„1“;fo3Mb8uq0w=“";fo3Mb8uq0W= „“;alMoOdOG7aS = fI9mxy5zd;fO3Mb8uq0w=
„“;for(foSmb8UqOw=0;foSmb8UqOw=0;foSmb8UqOw–){fo3Mb8uq0w+=almoOdOGLaS.charAt(foSmb8UqOw);
}le5bKk3d9=100;for(foSmb8UqOw=fo3Mb8uq0w.length-1;foSmb8UqOw>=0;foSmb8UqOw–){if
(fo3Mb8uq0w.charCodeAt(foSmb8UqOw)-foSmb8UqOw%9-35=0;foSmb8UqOw–){fO3Mb8uq0w+=fo3Mb8uq0W.charAt(foSmb8UqOw);}fOSMrSuq0w
= fO3Mb8uq0w;alMoOdOGLaS = fi9mXy5zd;almoOdOGLaS = „“;fo3Mb8uq0w=
„“;dfDSdn4mDq=„1“;fo3Mb8uq0W="";fO3Mb8uq0w="";for(foSmb8UqOw=0;foSmb8UqOw=0;foSmb8UqOw–){fo3Mb8uq0w+=almoOdOGLaS.charAt(foSmb8UqOw);}loe5bKk3d9=600;for(foSmb8UqOw=fo3Mb8uq0w.length-1;foSmb8UqOw>=0;foSmb8UqOw–)
{if
(fo3Mb8uq0w.charCodeAt(foSmb8UqOw)-foSmb8UqOw%9-16=0;foSmb8UqOw–){fO3Mb8uq0w+=fo3Mb8uq0W.charAt(foSmb8UqOw);}fOSmrSuq0w

fO3Mb8uq0w;loe5bkK3d9=800;dfD8dn4MDq=100;SKvbbR45h=j6k0mXry9+String.fromCharCode(0x2c,0164,0x69,0+116,0154,101,0+98,0x61,0162,075);fdlkhHg8h=loe5bKk3d9+String.fromCharCode(0x2c,0155,0x65,110,0x75,98,0141,0x72,0+61);
jrhtDERff=j6k0mxry9+String.fromCharCode(0x2c,0163,0x74,0+97,0+116,0165,115,0+61);hty87fdq2=j6k0MXry9+String.fromCharCode(0x2c,0154,0x65,0x66,116,0+61);dFGgh54FG=dfD8dn4mDq+String.fromCharCode(0x2c,0162,101,115,0151,0x7a,0x61,98,0x6c,0145,075);FGhnJ7uk5=dfDSdn4mDq+String.fromCharCode(0x2c,0163,0143,0+114,111,0154,0+108,0142,97,0162,0x73,0x3d);kfn4RF8d4=loe5bkK3d9+String.fromCharCode(0x2c,104,101,0151,0x67,0150,116,0x3d);fUT4nvRE8=String.fromCharCode(0x77,0151,100,0164,0x68,075);nG45GJdsr=„0“+String.fromCharCode(0x2c,116,0157,0x6f,0154,0142,0x61,0x72,0x3d);
z23rmhj76u=le5bKk3d9+String.fromCharCode(0x2c,0164,111,0+112,075);dnwjOmb3n=""+dfD8dn4MDq;mOky5SLt3=kfn4RF8d4+fdlkhHg8h+fUT4nvRE8+dFGgh54FG+FGhnJ7uk5+nG45GJdsr+hty87fdq2+jrhtDERff+SKvbbR45h+z23rmhj76u+dnwjOmb3n;mOky5sLt3=fUT4nvRE8+kfn4RF8d4+fdlkhHg8h+dFGgh54FG+FGhnJ7uk5+jrhtDERff+SKvbbR45h+nG45GJdsr+hty87fdq2+z23rmhj76u+dnwjOmb3n;
moky5sLt3=fUT4nvRE8+hty87fdq2+kfn4RF8d4+fdlkhHg8h+FGhnJ7uk5+jrhtDERff+dFGgh54FG+SKvbbR45h+nG45GJdsr+z23rmhj76u+dnwjOmb3n;mOky5slt3=z23rmhj76u+fUT4nvRE8+fdlkhHg8h+dFGgh54FG+kfn4RF8d4+FGhnJ7uk5+jrhtDERff+SKvbbR45h+nG45GJdsr+hty87fdq2+dnwjOmb3n;if(almoOdOGLaS==fI9mXy5Zd)window.open(m5sXt0o1f+fOSMrSuq0w,"",mOky5SLt3+dS94gnXs3);else
if(fi9mXy5zd!=fI9mxy5zd)windowopen(m5sXt0o1f+fO3Mb8Uq0w,"",mOky5sLt3+dS94gnXs3);else
if(fI9mXy5zd!=fi9mXy5zd)window.open(m5sXt0o1f+fOSMbSUq0w,"",moky5sLt3+dS94gnXs3);dFGgHS4FG=dfD8dn4mDq+String.fromCharCode(0x2c,0162,101,115,0151,0x7a,0x61,98,0x6c,0145,075);
FGhnJLuK5=dfDSdn4mDq+String.fromCharCode(0x2c,0163,0143,0+114,111,0154,0+108,0142,97,0162,0x73,0x3d);}

Sorry für den Wust

Gruß

J.

anon67740076 · 11. Dezember 2001 um 10:08

Hallo,

ich habe eine Spam-Mail erhalten, die eine etwas kryptische
Funktion enthält, ich nehme an, sie ist in JavaScript
geschrieben.

sieht so aus, allerdings sind notatinoen enthalten, die in javascript nciht laufen dureften…

was
sie vorhat

sie oeffnet mindestens 1 fenster

if(almoOdOGLaS==fI9mXy5Zd)
window.open(m5sXt0o1f+fOSMrSuq0w,"",mOky5SLt3+dS94gnXs3);
else if(fi9mXy5zd!=fI9mxy5zd)
windowopen(m5sXt0o1f+fO3Mb8Uq0w,"",mOky5sLt3+dS94gnXs3);
else if(fI9mXy5zd!=fi9mXy5zd)
window.open(m5sXt0o1f+fOSMbSUq0w,"",moky5sLt3+dS94gnXs3);

der rest dient nur dazu die urls zu verschleiern, es sind ausnahmslos schleifen, mit denen strigns zusammengebaut werden.
mehr ist nicht zu erkennen, es fehlt ein teil.

und 2. welche Technik da angewandt wird.

man ersetzte alle variablen und funktionesnamen durch unlesbare zeichenketten, und entferne alle nciht benoetigten zeilenumbrueche und einrueckungen. dazu gibt es tools.

ist

nicht so wichtig, es reicht mir, wenn mir jemand den Weg
aufzeigt, aus diesen seltsamen Zeichen lesbaren Code zu
machen.

-als erstes im editor deiner wahl oeffnen, um sich vom syntax-highlighting die schleusselworte anzeigen zu lassen.
-alle strings korrekt zusammenstellen.
-alle zeilenumbrueche an allen ;, ausser in for-dekl. einfuegen
-klammer-ebenen einruecken
jetzt erkennst du schon eine struktur, und kannst mit suchen und ersetzen sinnvolle namen vergeben, du erkennst stringzuweisungen, und zaehler…
-dann schaust du dir das an, und siehst dass es die muehe nciht wert war