Как-то так,
смотрите
Я не очень умею в весь этот ActiveX и виндовые PowerShell свистопляски, но кажется все эти кодированные послания расчитаны на IE, причем, насколько я понял, в этом IE должен быть
checked довольно специфический чекбокс (что-то типа "разрешить доступ к
cmd через веб интерфейс ActiveX", не дословно), поэтому я на самом деле не понял для кого эта ловушка. Скрипт пытается загрузить и выполнить хотя бы один файл из списка, в данном случае это
resog.ru/wp-content/plugins/libravatar-replace/sys... и
sdng.ru/wp-content/plugins/libravatar-replace/syst.... То есть если скрипт успешно загрузит и выполнит один файл, на этом он остановится.
Кстати, файлов по этому адресу нет, лол. Ну или сервер их отдает только по какой-то определенной комбинации информации о клиенте. В любом случае я со всех браузеров и ноды нашел там только 404.
После загрузки скрипт создает какие-то потоки, записывает полученный файл в системную папку, потом выполняет файл через
cmd.exe, после чего удаляет.
Вот, собственно, и все.
Если я прав и 1) файлов по адресам действительно нету и 2) скрипт выполнится только в IE, то это чудо просто неспособно причинить какой либо вред вашему компу.
PS: слава Аллаху, никакого
WshShell.Exec("calc"); там не было xD
PPS: в 53-й строчке
неувязка, проясните кто сможет.
