Che cosa fa questo file javascript? È un virus?

15

Durante la ricerca su Google ho trovato un sito Web che mostra un insieme di contenuti per Google Bot e un altro per gli utenti (reindirizzando verso un nuovo dominio) e anche un file Javascript molto sospetto. Forse è un cookie di tracciamento o un virus / malware, non lo so, quindi ti chiedo qui se qualcuno può aiutare a spiegare il codice?

Se il sito è "sicuro" perché reindirizza un motore di ricerca a un normale sito Web e gli utenti a una pagina vuota caricando questo file .js? Perché dovrebbe avere un getpassword.asp ospitato sul secondo dominio reindirizzato (dalla scansione sucuri)?

document.write ('<a href="" target="_blank"><img alt="&#x35;&#x31;&#x2E;&#x6C;&#x61;&#x20;&#x4E13;&#x4E1A;&#x3001;&#x514D;&#x8D39;&#x3001;&#x5F3A;&#x5065;&#x7684;&#x8BBF;&#x95EE;&#x7EDF;&#x8BA1;" src="" style="" /></a>\n');
var a1156tf="51la";var a1156pu="";var a1156pf="51la";var a1156su=window.location;var a1156sf=document.referrer;var a1156of="";var a1156op="";var a1156ops=1;var a1156ot=1;var a1156d=new Date();var a1156color="";if (navigator.appName=="Netscape"){a1156color=screen.pixelDepth;} else {a1156color=screen.colorDepth;}
try{a1156tf=top.document.referrer;}catch(e){}
try{a1156pu =window.parent.location;}catch(e){}
try{a1156pf=window.parent.document.referrer;}catch(e){}
try{a1156ops=document.cookie.match(new RegExp("(^| )a1156_pages=([^;]*)(;|$)"));a1156ops=(a1156ops==null)?1: (parseInt(unescape((a1156ops)[2]))+1);var a1156oe =new Date();a1156oe.setTime(a1156oe.getTime()+60*60*1000);document.cookie="a1156_pages="+a1156ops+ ";path=/;expires="+a1156oe.toGMTString();a1156ot=document.cookie.match(new RegExp("(^| )a1156_times=([^;]*)(;|$)"));if(a1156ot==null){a1156ot=1;}else{a1156ot=parseInt(unescape((a1156ot)[2])); a1156ot=(a1156ops==1)?(a1156ot+1):(a1156ot);}a1156oe.setTime(a1156oe.getTime()+365*24*60*60*1000);document.cookie="a1156_times="+a1156ot+";path=/;expires="+a1156oe.toGMTString();}catch(e){}
try{if(document.cookie==""){a1156ops=-1;a1156ot=-1;}}catch(e){}
a1156of=a1156sf;if(a1156pf!=="51la"){a1156of=a1156pf;}if(a1156tf!=="51la"){a1156of=a1156tf;}a1156op=a1156pu;try{lainframe}catch(e){a1156op=a1156su;}
a1156src='(0-a1156d.getTimezoneOffset()/60)+'&tcolor='+a1156color+'&sSize='+screen.width+','+screen.height+'&referrer='+escape(a1156of)+'&vpage='+escape(a1156op)+'&vvtime='+a1156d.getTime();
setTimeout('a1156img = new Image;a1156img.src=a1156src;',0);
    
posta Web Domus Italia 04.09.2014 - 10:46
fonte

4 risposte

41

Puliamo questo aspetto e guardiamo più da vicino, ho anche sostituito alcune entità HTML con il loro equivalente testuale:

Aggiungi un'immagine collegata alla pagina, i caratteri cinesi sono stati codificati ma non penso che sia sospetto:

document.write('<a href="http://www.51.la/?17211156" target="_blank"><img alt="51.la 专业、免费、强健的访问统计" src="http://icon.ajiang.net/icon_8.gif"style="border:none" /></a>\n');

Inizializza un gruppo di variabili, principalmente con attributi relativi al browser e alla pagina, come il referrer HTTP e l'URL corrente, la data, la risoluzione del browser, ecc.

var a1156tf = "51la";
var a1156pu = "";
var a1156pf = "51la";
var a1156su = window.location;
var a1156sf = document.referrer;
var a1156of = "";
var a1156op = "";
var a1156ops = 1;
var a1156ot = 1;
var a1156d = new Date();
var a1156color = "";
if (navigator.appName == "Netscape") {
    a1156color = screen.pixelDepth;
} else {
    a1156color = screen.colorDepth;
}
try {
    a1156tf = top.document.referrer;
} catch (e) {}
try {
    a1156pu = window.parent.location;
} catch (e) {}
try {
    a1156pf = window.parent.document.referrer;
} catch (e) {}
try {

Sembra che stia cercando i cookie esistenti impostati da questa applicazione per tenere un conteggio del numero di pagine visitate. Questo valore viene incrementato e memorizzato in un cookie.

    a1156ops = document.cookie.match(new RegExp("(^| )a1156_pages=([^;]*)(;|$)"));
    a1156ops = (a1156ops == null) ? 1 : (parseInt(unescape((a1156ops)[2])) + 1);
    var a1156oe = new Date();
    a1156oe.setTime(a1156oe.getTime() + 60 * 60 * 1000);
    document.cookie = "a1156_pages=" + a1156ops + ";path=/;expires=" + a1156oe.toGMTString();

In pratica sembra che stia cercando di registrare quante pagine distinte hai visualizzato. Anche in questo caso utilizza un cookie per ricordare se hai già visitato.

    a1156ot = document.cookie.match(new RegExp("(^| )a1156_times=([^;]*)(;|$)"));
    if (a1156ot == null) {
        a1156ot = 1;
    } else {
        a1156ot = parseInt(unescape((a1156ot)[2]));
        a1156ot = (a1156ops == 1) ? (a1156ot + 1) : (a1156ot);
    }
    a1156oe.setTime(a1156oe.getTime() + 365 * 24 * 60 * 60 * 1000);
    document.cookie = "a1156_times=" + a1156ot + ";path=/;expires=" + a1156oe.toGMTString();

Varie, probabilmente solo per soddisfare le diverse funzionalità e impostazioni del browser, come i cookie disabilitati.

} catch (e) {}
try {
    if (document.cookie == "") {
        a1156ops = -1;
        a1156ot = -1;
    }
} catch (e) {}
a1156of = a1156sf;
if (a1156pf !== "51la") {
    a1156of = a1156pf;
}
if (a1156tf !== "51la") {
    a1156of = a1156tf;
}
a1156op = a1156pu;
try {
    lainframe
} catch (e) {
    a1156op = a1156su;
}

Scrivi tutte queste informazioni come parametri GET nell'attributo source di un'immagine. Il tuo browser caricherà questo, quindi il loro server può registrare i dati.

a1156src = 'http://web.51.la:82/go.asp?svid=8&id=17211156&tpages=' + a1156ops + '&ttimes=' + a1156ot + '&tzone=' + (0 - a1156d.getTimezoneOffset() / 60) + '&tcolor=' + a1156color + '&sSize=' + screen.width + ',' + screen.height + '&referrer=' + escape(a1156of) + '&vpage=' + escape(a1156op) + '&vvtime=' + a1156d.getTime();
setTimeout('a1156img = new Image;a1156img.src=a1156src;', 0);

In pratica ti tiene traccia di te, inclusa la pagina che stai visualizzando, quante volte hai visualizzato il sito, quante pagine hai visualizzato, qual è la risoluzione del tuo browser, ecc.

Questo potrebbe essere maligno a seconda delle circostanze, sebbene la maggior parte dei siti web esegua il monitoraggio di alcune forme come Google Analytics. Non rappresenta una minaccia per l'integrità del tuo computer come qualcuno che guarda il sito, ma potrebbe essere una minaccia alla tua privacy.

I nomi di variabili dispari fanno sembrare un malware offuscato, ma ho il sospetto che questo per evitare conflitti di denominazione delle variabili con altri JavaScript.

    
risposta data 04.09.2014 - 13:07
fonte
12

No, non sembra un virus, ma sicuramente come un tentativo di tracciare le tue visite su siti diversi.

Fondamentalmente, raccoglie un mucchio di informazioni sul tuo browser, alcuni cookie e da quale pagina provieni, e inserisce tutti questi come parametri nell'URL di un'immagine che carica da un server. Quel server può quindi aggregare queste informazioni dalle tue visite a questo e altri siti con lo stesso codice in un profilo utente, che verrà probabilmente utilizzato per mostrare pubblicità mirate.

    
risposta data 04.09.2014 - 11:04
fonte
0

Quindi questo è apparso su un sito che avevo costruito per qualcuno. Ecco cosa posso vedere sintomaticamente (non sono un programmatore).

Questo software è installato su siti specificamente per reindirizzare il google spider bot per raccogliere una tonnellata di contenuti che non si trova effettivamente nel sito di destinazione. Quando è in gioco, il traffico verso il sito web aumenta in modo significativo, ma non ci sono benefici reali da vedere. Ciò che questi ragazzi stanno facendo è dire a Google che c'è molto più contenuto su un sito web che in realtà. Quando qualcuno fa clic su uno di questi link falsi da una ricerca su google, viene reindirizzato a una pagina che vende beni su siti legittimi.

Quello che sta succedendo è che questi ragazzi sono affiliati ai siti che stanno vendendo le merci e ricevono commissioni da ogni vendita online.

Sono parassiti che sfruttano migliaia di siti di altre persone per fare soldi da soli.

    
risposta data 29.10.2015 - 17:54
fonte
-5

Mi trovavo di fronte agli stessi avvisi nel nostro ambiente, quindi ero curioso di sapere cosa stia generando questo traffico. Quando ci pensi, ci deve essere qualche malware installato nel tuo browser come plugin o simile, perché posso vedere chiaramente i risultati di ricerca di Google con questo URL.

Esempio:

web.51.la:82/go.asp?svid=8&id=15942596&tpages=1&ttimes=1&tzone=8&tcolor=24&sSize=1440,900&referrer=https://www.google.de/&vpage=http://www.qupingche.com/comment/show/103&vvtime=1409818963602

Quando vai alla pagina http://www.qupingche.com/comment/show/103 , è un sito cinese che sono sicuro al 100% di non aver visitato. Nella sua pagina, puoi vedere la roba web51.la in questo script:

<script language="javascript" type="text/javascript" src="http://js.users.51.la/15942596.js">
</script>

E quando controlli la variabile di JavaScript, incrementa la posizione richiesta di uno ogni 10 secondi.

Questo è quello che ho visto:

js.users.51.la/15942596.js

E questo è l'ultimo con lo stesso contenuto:

js.users.51.la/15994950.js

Quindi quando vedi questa richiesta dal tuo cliente, allora ci deve essere qualche malware che genera questa richiesta sul tuo computer!

    
risposta data 05.09.2014 - 10:41
fonte

Leggi altre domande sui tag