这个特洛伊木马是啥意思

打开一个网址，卡巴报毒，是个js文件，代码古怪的很：

$=~[];
$={___:++$,$$$$:(![]+"")[$],__$:++$,$_$_:(![]+"")[$],_$_:++$,$_$$:({}+"")[$],$$_$:($[$]+"")[$],_$$:++$,$$$_:(!""+"")[$],$__:++$,$_$:++$,$$__:({}+"")[$],$$_:++$,$$$:++$,$___:++$,$__$:++$};
$.$_=($.$_=$+"")[$.$_$]+($._$=$.$_[$.__$])+......

没认出来是啥意思

icloudnet

2015-01-23 02:15:40 +08:00

搜了下，这个木马叫 Trojan.JS.Agent.CKF, 卡巴在1月20日新报的木马，这个文件会盗取private IRC messages, files, credit card passwords，持续打开cmd.exe,notepad.exe,word.exe等使计算机变慢。

详细：
https://icloud.net/blog/118/virus-my-fax-com-trojan-email-fax-link/

裸奔的兄弟还是装个杀毒软件吧，不明网址不要点哦。

Akiyori

2015-01-23 04:48:53 +08:00

@RIcter 依稀记得你以前写过这种加密方式...

efi

2015-01-23 04:57:46 +08:00

一行一行看下去，最后肯定有一个eval()。

Sunyanzi

2015-01-23 05:53:17 +08:00

基本的原理解释 ...

JavaScript 的六种数据类型里 ... 五种简单类型在转化为字符串时都会保持原样 ...

比如 ![] 这个值在 JavaScript 里面是布尔 false ... 转化为字符串之后是字符串 false ...

!"" 这个值在 JavaScript 里面是布尔 true ... 同样被转化为字符串 true ... undefined 也同理 ...

唯一的复杂类型转化为字符串是 [ object ** ] ... 其中 ** 是对象名 ...

这些字符串里包含了足够多的字母和符号 ...

而 ~[] 这个值在 JavaScript 里面是 -1 ... 之后可以一直自增得到无穷多的连续整数 ...

然后通过取字符串指定位置的字母 ... 再用这些字母组成更复杂的结构 ...

可以获取所有可输入的字符 ... 剩下的事情就只剩用这些字符拼出命令了 ...

这不是一种加密 ... 只是一种比较高级的混淆而已 ...

而且我记得应该是有现成的工具可以把代码转化成这样的 ... 但忘了是在哪里看到的了 ...

typcn

2015-01-23 05:54:33 +08:00

估计就是上次那个 IE 0Day ，早被修复了。
不是 eval 只是互换了而已，类似 google 搜 js obfuscator 得到的结果
至于杀毒软件，我永远不会装

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/164663

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.