¿Qué hace este archivo javascript? ¿Es esto un virus?

Navega tus respuestas
15

Mientras buscaba en Google, encontré un sitio web que muestra un conjunto de contenido para Google Bot y otro para usuarios (al redirigir a un nuevo dominio), y también un archivo Javascript muy sospechoso. Tal vez sea una cookie de seguimiento o un virus / malware, no lo sé, así que pregunto aquí si alguien puede ayudar a explicar el código.

Si el sitio es "seguro", ¿por qué redirige un motor de búsqueda a un sitio web normal y los usuarios a una página en blanco al cargar este archivo .js? ¿Por qué debería tener un getpassword.asp alojado en el segundo dominio redirigido (desde el escaneo de sucuri)? 

document.write ('<a href="" target="_blank"><img alt="&#x35;&#x31;&#x2E;&#x6C;&#x61;&#x20;&#x4E13;&#x4E1A;&#x3001;&#x514D;&#x8D39;&#x3001;&#x5F3A;&#x5065;&#x7684;&#x8BBF;&#x95EE;&#x7EDF;&#x8BA1;" src="" style="" /></a>\n');
var a1156tf="51la";var a1156pu="";var a1156pf="51la";var a1156su=window.location;var a1156sf=document.referrer;var a1156of="";var a1156op="";var a1156ops=1;var a1156ot=1;var a1156d=new Date();var a1156color="";if (navigator.appName=="Netscape"){a1156color=screen.pixelDepth;} else {a1156color=screen.colorDepth;}
try{a1156tf=top.document.referrer;}catch(e){}
try{a1156pu =window.parent.location;}catch(e){}
try{a1156pf=window.parent.document.referrer;}catch(e){}
try{a1156ops=document.cookie.match(new RegExp("(^| )a1156_pages=([^;]*)(;|$)"));a1156ops=(a1156ops==null)?1: (parseInt(unescape((a1156ops)[2]))+1);var a1156oe =new Date();a1156oe.setTime(a1156oe.getTime()+60*60*1000);document.cookie="a1156_pages="+a1156ops+ ";path=/;expires="+a1156oe.toGMTString();a1156ot=document.cookie.match(new RegExp("(^| )a1156_times=([^;]*)(;|$)"));if(a1156ot==null){a1156ot=1;}else{a1156ot=parseInt(unescape((a1156ot)[2])); a1156ot=(a1156ops==1)?(a1156ot+1):(a1156ot);}a1156oe.setTime(a1156oe.getTime()+365*24*60*60*1000);document.cookie="a1156_times="+a1156ot+";path=/;expires="+a1156oe.toGMTString();}catch(e){}
try{if(document.cookie==""){a1156ops=-1;a1156ot=-1;}}catch(e){}
a1156of=a1156sf;if(a1156pf!=="51la"){a1156of=a1156pf;}if(a1156tf!=="51la"){a1156of=a1156tf;}a1156op=a1156pu;try{lainframe}catch(e){a1156op=a1156su;}
a1156src='(0-a1156d.getTimezoneOffset()/60)+'&tcolor='+a1156color+'&sSize='+screen.width+','+screen.height+'&referrer='+escape(a1156of)+'&vpage='+escape(a1156op)+'&vvtime='+a1156d.getTime();
setTimeout('a1156img = new Image;a1156img.src=a1156src;',0);
    
pregunta Web Domus Italia 04.09.2014 - 10:46
fuente

4 respuestas

41

Limpiemos esto y lo examinemos más de cerca, también he reemplazado algunas entidades HTML con su equivalente en texto:

Agregue una imagen vinculada a la página, los caracteres chinos fueron codificados pero no creo que esto sea sospechoso: 

document.write('<a href="http://www.51.la/?17211156" target="_blank"><img alt="51.la 专业、免费、强健的访问统计" src="http://icon.ajiang.net/icon_8.gif"style="border:none" /></a>\n');

Inicialice un grupo de variables, principalmente con atributos sobre el navegador y la página, como el referente HTTP y la URL actual, la fecha, la resolución del navegador, etc. 

var a1156tf = "51la";
var a1156pu = "";
var a1156pf = "51la";
var a1156su = window.location;
var a1156sf = document.referrer;
var a1156of = "";
var a1156op = "";
var a1156ops = 1;
var a1156ot = 1;
var a1156d = new Date();
var a1156color = "";
if (navigator.appName == "Netscape") {
    a1156color = screen.pixelDepth;
} else {
    a1156color = screen.colorDepth;
}
try {
    a1156tf = top.document.referrer;
} catch (e) {}
try {
    a1156pu = window.parent.location;
} catch (e) {}
try {
    a1156pf = window.parent.document.referrer;
} catch (e) {}
try {

Parece estar buscando cualquier cookie existente establecida por esta aplicación para mantener un recuento de cuántas páginas se han visitado. Este valor se incrementa y se almacena en una cookie. 

    a1156ops = document.cookie.match(new RegExp("(^| )a1156_pages=([^;]*)(;|$)"));
    a1156ops = (a1156ops == null) ? 1 : (parseInt(unescape((a1156ops)[2])) + 1);
    var a1156oe = new Date();
    a1156oe.setTime(a1156oe.getTime() + 60 * 60 * 1000);
    document.cookie = "a1156_pages=" + a1156ops + ";path=/;expires=" + a1156oe.toGMTString();

Básicamente parece estar intentando registrar cuántas páginas distintas has visto. Nuevamente usa una cookie para recordar si ya has visitado. 

    a1156ot = document.cookie.match(new RegExp("(^| )a1156_times=([^;]*)(;|$)"));
    if (a1156ot == null) {
        a1156ot = 1;
    } else {
        a1156ot = parseInt(unescape((a1156ot)[2]));
        a1156ot = (a1156ops == 1) ? (a1156ot + 1) : (a1156ot);
    }
    a1156oe.setTime(a1156oe.getTime() + 365 * 24 * 60 * 60 * 1000);
    document.cookie = "a1156_times=" + a1156ot + ";path=/;expires=" + a1156oe.toGMTString();

Cosas varias, probablemente solo para atender diferentes capacidades y configuraciones del navegador, como la desactivación de cookies. 

} catch (e) {}
try {
    if (document.cookie == "") {
        a1156ops = -1;
        a1156ot = -1;
    }
} catch (e) {}
a1156of = a1156sf;
if (a1156pf !== "51la") {
    a1156of = a1156pf;
}
if (a1156tf !== "51la") {
    a1156of = a1156tf;
}
a1156op = a1156pu;
try {
    lainframe
} catch (e) {
    a1156op = a1156su;
}

Escriba toda esta información como parámetros GET en el atributo de origen de una imagen. Su navegador cargará esto y su servidor podrá registrar los datos. 

a1156src = 'http://web.51.la:82/go.asp?svid=8&id=17211156&tpages=' + a1156ops + '&ttimes=' + a1156ot + '&tzone=' + (0 - a1156d.getTimezoneOffset() / 60) + '&tcolor=' + a1156color + '&sSize=' + screen.width + ',' + screen.height + '&referrer=' + escape(a1156of) + '&vpage=' + escape(a1156op) + '&vvtime=' + a1156d.getTime();
setTimeout('a1156img = new Image;a1156img.src=a1156src;', 0);

Básicamente, te está rastreando, incluida la página que estás viendo, cuántas veces has visitado el sitio, cuántas páginas has visto, cuál es la resolución de tu navegador, etc.

Este podría ser malicioso según las circunstancias, aunque la mayoría de los sitios web ejecutan el seguimiento de alguna forma, como Google Analytics. No representa una amenaza para la integridad de su máquina como alguien que ve el sitio, pero puede ser una amenaza para su privacidad.

Los nombres de variables impares hacen que parezca un malware confuso, pero sospecho que esto es para evitar conflictos de nombres de variables con otro JavaScript.

    
respondido por el thexacre 04.09.2014 - 13:07
fuente
12

No, no parece un virus, pero definitivamente es un intento de rastrear sus visitas en diferentes sitios.

Básicamente, recopila un montón de información sobre su navegador, algunas cookies y de qué página proviene, y pone todos estos parámetros en la URL de una imagen que carga desde un servidor. Ese servidor puede agregar esta información de sus visitas a este y otros sitios con el mismo código en un perfil de usuario, que probablemente se usará para mostrarle publicidad dirigida.

    
respondido por el Michael Borgwardt 04.09.2014 - 11:04
fuente
0

Así que esto apareció en un sitio que yo había construido para alguien. Esto es lo que puedo ver sintomáticamente (no soy un programador).

Este software se instala en sitios específicamente para redirigir el robot de Google spider para recoger una tonelada de contenido que no está realmente en el sitio objetivo. Cuando esté en juego, verá que el tráfico hacia el sitio web aumenta significativamente, pero no hay beneficios reales que ver. Lo que estos chicos están haciendo es decirle a Google que hay mucho más contenido en un sitio web de lo que realmente es. Cuando alguien hace clic en uno de estos enlaces falsos de una búsqueda de Google, se los redirige a una página que vende productos en sitios legítimos.

Lo que está sucediendo es que estos individuos son afiliados de los sitios que venden los productos y reciben comisiones por cada venta en línea.

Son parásitos que explotan los sitios de miles de otras personas para ganar dinero por sí mismos.

    
respondido por el jimdellvic 29.10.2015 - 17:54
fuente
-5

Me enfrenté a las mismas alertas en nuestro entorno, así que tenía curiosidad por lo que está generando este tráfico. Cuando lo pienses, debe haber algún malware instalado en tu navegador como complemento o similar, porque puedo ver claramente los resultados de búsqueda de Google con esta URL.

Ejemplo: 

web.51.la:82/go.asp?svid=8&id=15942596&tpages=1&ttimes=1&tzone=8&tcolor=24&sSize=1440,900&referrer=https://www.google.de/&vpage=http://www.qupingche.com/comment/show/103&vvtime=1409818963602

Cuando vas a la página http://www.qupingche.com/comment/show/103 , es un sitio web chino que estoy 100% seguro de que no has visitado. En su página, puedes ver el web51.la de este script: 

<script language="javascript" type="text/javascript" src="http://js.users.51.la/15942596.js">
</script>

Y cuando verifica la variable de JavaScript, está incrementando la ubicación solicitada en uno cada 10 segundos.

Esto es lo que vi: 

js.users.51.la/15942596.js

Y este es el último con el mismo contenido: 

js.users.51.la/15994950.js

Entonces, cuando vea esta solicitud de su cliente, entonces debe haber algún malware que genere esta solicitud en su computadora.

    
respondido por el sdfgs sdfsdf 05.09.2014 - 10:41
fuente

Lea otras preguntas en las etiquetas

¿Se puede usar un JWT como token CSRF? ¿Registro de comandos de Linux?