CLARIFICACIÓN: Cambié el título porque la gente interpretaba esto como una solicitud para ayudar a entender el código. A continuación, explico qué está haciendo el código (las críticas a este análisis son bienvenidas). Estoy tratando de averiguar por qué está haciendo esto. He propuesto algunas teorías, buscando otras ideas.
Recibí un correo electrónico a través de mi servidor de trabajo con el siguiente título: "Cambio de estado de transferencia 3310DHIFM" con un archivo adjunto .doc. Claramente, este es un intento de instalar un virus y decidí ver qué había exactamente en este archivo. Lo guardé como texto y lo abrí en un editor que sé que no "ayuda" al intentar abrir cosas en el programa "correcto". Lo que encontré fue una página HTML. Básicamente, el encabezado reduce los recursos de un sitio web de noticias lituano que parece ser legítimo. Es posible que se haya comprometido, por lo que he cambiado las direcciones web para que no funcionen de una manera que debería ser obvia.
¡No sigas esos enlaces a menos que realmente sepas lo que estás haciendo! No soy responsable de las consecuencias negativas que surjan al intentar acceder a estos recursos
Después de extraer una versión de jquery de ese sitio, tiene un script que la usa:
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html>
<head>
<title></title>
<meta http-equiv="content-type" content="text/html; charset=windows-1250">
<meta name="generator">
<LINK rel="stylesheet" type="text/css" href="http://ww2.zebra.eeltee/c/internetas/style.css">
<LINK rel="stylesheet" type="text/css" href="http://ww2.zebra.eeltee/c/internetas/tapsauga.css">
<script type="text/javascript" src="http://ww2.zebra.eeltee/js/jquery.js"></script><scripttype="text/javascript">
$(document).ready(function () {
fortinet = $("a[href*='fortinet']");
$("a.uzsisakyk_big_grey").attr("href", fortinet.attr("href"));
fortinet.hide();
});
</script>
</head>
Básicamente, busca cualquier enlace que contenga la palabra fortinet y luego coloca el href en el html a continuación para apuntar a ese enlace de fortinet y oculta el enlace de fortinet.
Hay un texto en lituano (parece que mi editor lo modificó) sobre cómo se bloqueó un virus, etc. y luego un enlace a más información sobre el virus. Ahí es donde el guión coloca el enlace de Fortinet.
<body style="padding:50px;">
<div id="tapsauga-msg">
<div id="tapsauga-msg-inner">
<table>
<tr>
<td width="80" align="center" valign="top"><img src="http://ww2.zebra.eeltee/i/internetas/error_48.png"></td><tdcolspan="2">
TEO paslauga „Triguba apsauga” aptiko ir užblokavo virusu "WM/Agent!tr" užkrėstą bylą. Paslauga „Triguba apsauga” draudžia atsisiųsti šią bylą, nes ji gali pakenkti Jūsų kompiuteriui.
</td>
</tr>
<tr><td colspan="3"> </td></tr>
<tr>
<td></td>
<td align="left" colspan="2">
<a class="uzsisakyk_big_grey" href="nuoroda">Daugiau apie virusÄ…</a>
</td>
</tr>
</table>
</div>
</div>
</body>
</html>
¿Alguien entiende por qué está haciendo esto? No puedo ver cómo esto logra mucho a menos que haya algo funky en el script jquery o en los archivos css extraídos del sitio cebra.
Parece que está dirigido a personas que usan un firewall de Fortinet, ¿pero con qué propósito? Puedo arriesgarme a suponer que tal vez se trata de agarrar un enlace que permite acceder a algo que estaba bloqueado, pero no veo qué se logra. No parece haber nada más aquí, eso es lo que está tratando de traer a la página. ¿Existe una vulnerabilidad de Word alrededor de HTML? ¿Una vulnerabilidad de modo peculiar? Parece bastante ineficaz, pero podría estar subestimando al autor.
EDITAR:
Miré los archivos css en los enlaces y veo que hay muchas referencias de gifs y jpgs. Otra posibilidad es que hay una falla en la forma en que Word maneja gifs o jpgs.