Abrí Firebug y pegué parte de la secuencia de comandos en la consola (teniendo cuidado de solo pegar la parte que creó una variable, en lugar de ejecutar el código). Esto es lo que tengo:
lo pegué:
console.log(["\x73\x72\x63","\x73\x63\x72\x69\x70\x74","\x63\x7 2\x65\x61\x74\x65\x45\x6C\x65\x6D\x65\x6E\x74","\x 68\x74\x74\x70\x3A\x2F\x2F\x75\x67\x2D\x72\x61\x64 \x69\x6F\x2E\x63\x6F\x2E\x63\x63\x2F\x66\x6C\x6F\x 6F\x64\x2E\x6A\x73","\x61\x70\x70\x65\x6E\x64\x43\ x68\x69\x6C\x64","\x62\x6F\x64\x79"]);
el resultado:
["src", "script", "cx7 2eateElement", "x 68ttp://ug-rad io.co.cc/flox 6Fd.js", "appendC x68ild", "body"]
En resumen, el aspecto que tiene es script para cargar un archivo JavaScript externo desde un servidor remoto con un nombre de dominio muy dudoso.
Hay algunos caracteres que no se convierten bastante a lo que cabría esperar. Esto podría ser errores tipográficos (improbables) u ofuscación adicional deliberada, para engañar a cualquier corrector de malware automático que busque guiones que contengan URL o referencias al createElement
, etc. El resto del guión los vuelve a colocar en su lugar individualmente antes de ejecutarlo.
El nombre de la variable _0x8dd5
se elige a mirar como código hexadecimal y hacer que todo sea más difícil de leer, pero en realidad es sólo un nombre de variable Javascript regular. Se hace referencia repetidas veces en el resto del guión, ya que copia caracteres de una parte de la cadena a otra para corregir los vacíos deliberados.
Definitivamente un script malicioso.
¡Recomiendo quemarlo inmediatamente! ;-)
Definitivamente * * ve como que utiliza la ofuscación similar a los scripts maliciosos. – Piskvor