Прикрепил код вируса (
скачать код) к посту в pdf файле, дабы скачавший его, случайно не запустил. Вирус опасен, и может здорово навредить. Для особо любопытных: вирус шифрует все файлы, а на рабочем столе появляется адрес почты для связи с (сами знаете с кем и для чего).
Как я понял, скрипт не хранит вредоносные команды в самом себе. Есть функции, которые возвращают отдельные символы, из которых складываются строки. Затем они выполняются функцией eval(). Сделано так, для того чтобы антивирус не сработал.Пример:
function IM()
{
var XBt=38774;
return "S";
}
function W(svu)
{
var OF=30586;
var wg=OF+24239;
var kdy=wg/255;
var mi=kdy-214;
var bHh = eval(Nx() + (svu+mi) + uSk());
return bHh;
}
Хочу отрефакторить этот код к нормальному виду, чтобы понять что он делает, как работает, и какой алгоритм используется для шифрования. У меня было 2 варианта:
1) вручную переписать, вместо функций писать сразу символы которые они возвращают, удалить лишнее(да, там есть переменные, которые тупо объявляются, и не используются)
2)отладка в гуглхром (а что, синтаксис тот-же, на eval() хром будет крашиться, в логах буду смотреть какая виндовая функция там вызывается, переносить ее в отдельный файл, а из кода ее убирать. Затем все сначала.
При этом у меня всегда есть возможность проверить результат на виртуалбокс.
И так, самый вопрос: как можно этот код привести к читаемому, понятному виду? Первый вариант долгий (там в коде 1500 строк), Второй вариант вызывает сомнения.
(примечание на всякий случай: на борту у меня ubuntu, на виртуалке Windows XP, )
Простой
