Tak z ciekawości pobrałem ten załącznik po rozpakowaniu po drodze zmiana nazwy ukazał się plik o rozszerzeniu .js ,czy można wstawić ten kod na forum chciałbym coby znający język powiedział co to robi niedobrego ?

Wrzuć na wklej.org w poście daj link. 

Kod wstawić możesz, ale nie wiem czy to coś da. Moi rodzice dostawali podobne e-maile. Kod wewnątrz tych plików jest zaciemniony co już jest podejrzane. Jak nie musisz to nie otwieraj, a mogę się założyć że nie musisz. W windowsie dwukrotne kliknięcie na takim pliku powoduje jego wykonanie.

Tyle się pisze, nie otwieraj nie zamawianych maili, a tu kolejny ciekawski! Za chwilę będziesz pisał na forum że komputer wolno chodzi lub masz zablokowane pliki. Wyślij to do kosza,nie dochodź co w nim jest.

Nie obchodzi mnie co cię dzieje w windowsie .

Nie otwieram tego w sensie uruchom tylko edytuje ,Gedit radzi sobie z tym nieźle nie dość że nie jest nic zaciemnione to pięknie koloruje składnie.

Jak wyżej tylko edytuje ,plik nie ma uprawnień z automatu wykonaj jako program musiałbym je nadać także nie ma zmartwienia.

Oto ten majstersztyk :http://wklej.org/id/2879745/

Dlaczego pytasz się na forum co to za kod, skoro nie masz zamiaru kogokolwiek słuchać, zaspokoiłeś swoją ciekawość, tyle że dalej nic nie wiesz, bo to jest jedynie fragment kodu w JS.

Był tam tylko ten plik z taką zawartością piszesz nie otwieraj ,szkopuł w tym że edytowałem zawartość przed założeniem tematu i to nie otwieraj to już musztarda po obiedzie. Ciekawy jestem jakiego to może psikusa zrobić.

Raczej przez edycje to nic się nie wykonuje.

Po kodzie widać że użyto jakiegoś zaciemniacza, to że jest kolorowanie składni nic nie znaczy, bo kod żeby się wykonał, musi być zgodny z semantyką języka, a jeśli jest zgodny to i jest kolorowanie składni.

Ten kod uruchomiony na Windowsie najprawdopodobniej pobierze i zainstaluje jakieś dziadostwo, a na linuxie jest raczej nieszkodliwy, choć mogę się mylić.

Odkopałem ten temat badając bezpieczeństwo JavaScript. Podesłany kod po zdekodowaniu wygląda tak: http://wklej.org/hash/86b75cdd188/

NIE URUCHAMIAĆ KODU W PRZEGLĄDARCE INTERNET EXPLORER (najlepiej też żadnej innej…)

Sam skrypt działa następująco:

• Aplikacja pobiera zawartość strony http://jetonlyseath[.]top/log.php?f=1.dat (której obecnie nie udało mi się wyświetlić; prawdopodobnie serwer nie jest już aktywny;)
• Tworzy plik tymczasowy (nazwa losowa) w systemie Windows za pomocą kontrolek ActiveXObject (która jest dostępna tylko w Internet Explorer 9)
• Zapisuje pobrane z serwera dane do pliku o rozszerzeniu .exe (zapewne dane binarne)
• Wykonuje utworzony, pobrany z internetu plik - wirus.

Nie wiadomo co dzieje się dalej. Trzeba by zdobyć plik, który był pobierany z serwera, a następnie zbadać go na niższym poziomie… poziomie assemblera.

Swoją drogą dekodowanie tego typu, “zaciemnionych” jak to mówicie, plików jest w przypadku JavaScriptu dosyć łatwe, ponieważ JavaScript jest językiem interpretowanym. W każdym momencie można podejrzeć zawartość poszczególnych zmiennych. Zatem skoro ten skrypt jest zakodowany, to przed wykonaniem musi się sam odkodować. Wystarczy znaleźć miejsce między odkodowaniem a wykonaniem - przerwać działanie skryptu - i podejrzeć, co właśnie miało się wykonać.

Pozdrawiam, uważajcie na siebie, a jeszcze bardziej na załączniki w mailach!