De-Obfuscation, benötige Verifikation bzw. Hilfe

[0xbadf00d]

Hallo,

ich war heute Mittag nicht ganz bei der Sache, als ich das PDF-Dokument im Anhang einer dubiosen E-Mail (Rechnung) geöffnet habe. In dem schlanken ~15kb Dokument befindet sich folgender JS-Code.

nopaste-Link: http://nopaste.info/5073831be7.html

Wenn ich das richtig verstehe, befinden sich im Array 'arr' Indizes, anhand derer mit den Bytes aus dem 'cc' String der Code generiert wird, welcher am Ende via w(s) ausgeführt werden soll. Bei meiner Analyse hat sich gezeigt, dass der generierte Code vmtl. fehlerhaft ist.

nopaste-Link: http://nopaste.info/d5ae3d29ca.html

Ich gehe davon aus, dass "vah" und "Ahhay" (als Beispiel) wohl eher "var" und "Array" werden sollten. Hier stimmen IMHO entweder die Indizes nicht oder der String aus dem die Zeichen geholt werden ist fehlerhaft. Wie auch immer, ich bin nicht ganz so fit in JS und würde mich freuen, wenn jemand hier die Fehlerhaftigkeit (und somit Ungefährlichkeit) dieses Codes bestätigen/widerlegen könnte.

Darüber hinaus ist mir folgende Zeile im Hinblick auf die Syntax ein Rätsel:

Code:

w=e(12)[q];

Ich kann dies in meinem Browser nicht ausführen, weil "TypeError: String.prototype.substr called on null or undefined". Betrachte ich den Code aber ganzheitlich, macht es für mich nur sinn, wenn an dieser Stelle der Variable 'w' die Funktion eval zugewiesen wird. Ist die JS-Engine im Adobe Reader toleranter und schluckt derartiges?

Habe ich irgendwo einen Denkfehler gemacht, etwas übersehen o.ä.?

Liebe Grüße
0xbadf00d

[kicia]

Da ist ein < in dem cc. Wenn das nur ein Zeichen wäre, würde h zu r.

w=e(12)[q];

macht sinn:
w = eineFunktion( 12 )[ idx ]
eineFunktion gibt ein Array zurück, in w wird das element idx gespeichert.

[0xbadf00d]

Vielen Dank Kicia!

Das < in 'cc' habe ich ganz uebersehen - nun ergibt der Code durchaus Sinn.

http://nopaste.info/12ae9fe3dc.html

Liebe Grüße
0xbadf00d