Estoy en a La página que muestra algún malware, en la forma de este código que se ejecuta cuando hago clic en el enlace a http://www-users.york.ac.uk/~raa110/audacity/AudacityHelp.html#DMA , que ha sido un 404 desde mi primer intento, pero la inyección de malware ocurre antes de que se abra esa página. :
(function(){var f='www.super-resume.com/#__';f='https://href.li/?http://'+f;function hasLocalStorage(){try{localStorage.setItem('a','a');localStorage.removeItem('a');return true}catch(e){return false}};if(!document.addEventListener||!hasLocalStorage())return;var g=window.has_more_ads||window.has_st||(document.referrer&&document.referrer.match(/(:\/\/www\.(google|bing)\.|search\.(yahoo|ask)\.com\/)/i));var h=!document.location.href.match(/^http:\/\/(spssx-discussion|rhodes--22|vtk\.1045678|itk-users\.7|astronomia-e-astrofotos\.1069742|jsmastronomy.30143|jsmtst.2343515)\./);var j=!Nabble||!Nabble.isEmbedded;if(!g||!h||!j)return;if(!localStorage.dwp){$('td.footer-right').prepend('<span id="dis'+'ablep'+'op0"><a id="dis'+'ablep'+'op1" href="javascript:void(0)">Disa'+'ble Po'+'pup A'+'ds</a> | </span>');$('#dis'+'ablep'+'op1').click(function(){localStorage.dwp=1;typeof notice=='function'&¬ice('Po'+'pup ads have been dis'+'abled',3000,1000);$('#dis'+'ablep'+'op0').remove()})}var k=localStorage.st;var l=new Date().getTime();var m=60*60*1000;var n=!k||l>parseInt(k)+m;if(!n)return;var o='width=1,height=1,left='+(screenX+outerWidth/2)+',top='+(screenY+outerHeight/2);function safari_trigger(){document.removeEventListener('click',safari_trigger,false);var a=window.open(f,'pu_',o);var b=document.createElement('a');b.setAttribute('href','data:text/html,<scr'+'ipt>window.close();</scr'+'ipt>');b.style.display='none';document.body.appendChild(b);var c=document.createEvent('MouseEvents');c.initMouseEvent('click',true,true,window,0,0,0,0,0,true,false,false,true,0,null);b.dispatchEvent(c);document.body.removeChild(b)};function firefox_trigger(){document.removeEventListener('click',firefox_trigger,false);var a=window.open(f,'pu_',o);if(a){a.blur();try{var b=a.window.open('about:blank');b.close()}catch(i){};window.focus()}};function simple_trigger(){document.removeEventListener('click',simple_trigger,false);var a=window.open(f,'pu_',o);if(a){a.blur();window.focus()}};function chrome_trigger(b){var a=b.currentTarget;var c=a.href;a.href=f;window.open(c,'_blank')};function ready(a){if(document.readyState!='loading')a();else document.addEventListener('DOMContentLoaded',a)};ready(function(){var a=navigator.userAgent;var b=a.indexOf('Chrome')>=0?chrome_trigger:a.indexOf('Firefox')>=0?firefox_trigger:a.indexOf('MSIE')>=0||a.indexOf('Trident/')>=0?chrome_trigger:a.indexOf('iPhone')>=0?chrome_trigger:a.indexOf('Safari')>=0?safari_trigger:false;if(b){var c=document.querySelectorAll('a');for(var i=0;i<c.length;i++){var d=c[i].getAttribute('href');if(d&&d.indexOf('javascript:')==-1){function _wrapper(e){localStorage.st=l;if(localStorage.dwp==1)return;b(e)};c[i].addEventListener('click',_wrapper,false)}}}})})();
Abre una pequeña ventana y pretende hacer clic en varias cosas, supongo que para simular los clics de los usuarios reales con el fin de estafar a los ingresos por publicidad. Tan pronto como haces clic en la entrada de la barra de tareas de esta ventana emergente para investigar, se cierra.
Mi pregunta es, ¿qué está inyectando esto? Dudo que nabble.com tenga el malware, ni la página 404 de York U; Además no puedo reproducir este comportamiento en una ventana privada. El panel de desarrolladores simplemente dice que es anónimo (capturé esto haciendo clic en el símbolo de pausa, luego en el enlace que puede ver en la página):
Notengocomplementosnicomplementosextraños,sololoquevieneconelstockdeFirefox,mászoteroyadblockplus,ningunodeloscualesmehacausadoproblemasanteriormente.
Firefox51.0.1(32bits)enWindows8.1de64bits.
actualizacion
Despuésdereiniciarlacomputadorayelnavegador,volveralapáginadenabble,pausareldepuradoryhacerclicenelenlaceahoramuestramuchasfuentes,perosiguesiendoSOURCE0,peronoparecetenermalware(oesunmalwarediferente):
actualización 2
Búsqueda de Spybot & Destroy no encontró nada relacionado con super-resume.com ni con ningún malware, solo rastreando cookies y listas de archivos recientes.
actualización 3
Programas y características no muestra nada sospechoso, solo se instala a propósito y nada más. El programa que se instaló más recientemente (hace uno o dos días) fue Spotify, y encontré este enlace (no puedo publicar, no tengo suficiente reputación, pero la segunda coincidencia en Google es 'malware de Spotify Installer', DESDE SPOTIFY COMMUNITY FORUMS), pero Se supone que ya han solucionado ese problema. Además, no puedo ver por qué se inyectarían en los controladores de clics de Windows existentes: ese enlace describe más un patrón de abrir ventanas de navegador cada vez que a Spotify le guste, no siempre que el usuario haga clic en una página web no relacionada. p>