it-swarm.com.de

Was macht diese Javascript-Datei? Ist das ein Virus?

Bei der Suche bei Google habe ich eine Website gefunden, auf der ein Satz von Inhalten für den Google Bot und ein anderer für die Nutzer angezeigt wird (indem auf eine neue Domain umgeleitet wird) sowie eine sehr verdächtige Javascript-Datei. Vielleicht ist es ein Tracking-Cookie oder ein Virus/eine Malware, ich weiß es nicht, also frage ich hier, ob jemand helfen kann, den Code zu erklären?

Wenn die Site "sicher" ist, warum leitet sie eine Suchmaschine auf eine normale Website und Benutzer auf eine leere Seite um, indem sie diese .js-Datei lädt? Warum sollte eine getpassword.asp auf der zweiten umgeleiteten Domain (vom Sucuri-Scan) gehostet sein?

document.write ('<a href="" target="_blank"><img alt="&#x35;&#x31;&#x2E;&#x6C;&#x61;&#x20;&#x4E13;&#x4E1A;&#x3001;&#x514D;&#x8D39;&#x3001;&#x5F3A;&#x5065;&#x7684;&#x8BBF;&#x95EE;&#x7EDF;&#x8BA1;" src="" style="" /></a>\n');
var a1156tf="51la";var a1156pu="";var a1156pf="51la";var a1156su=window.location;var a1156sf=document.referrer;var a1156of="";var a1156op="";var a1156ops=1;var a1156ot=1;var a1156d=new Date();var a1156color="";if (navigator.appName=="Netscape"){a1156color=screen.pixelDepth;} else {a1156color=screen.colorDepth;}
try{a1156tf=top.document.referrer;}catch(e){}
try{a1156pu =window.parent.location;}catch(e){}
try{a1156pf=window.parent.document.referrer;}catch(e){}
try{a1156ops=document.cookie.match(new RegExp("(^| )a1156_pages=([^;]*)(;|$)"));a1156ops=(a1156ops==null)?1: (parseInt(unescape((a1156ops)[2]))+1);var a1156oe =new Date();a1156oe.setTime(a1156oe.getTime()+60*60*1000);document.cookie="a1156_pages="+a1156ops+ ";path=/;expires="+a1156oe.toGMTString();a1156ot=document.cookie.match(new RegExp("(^| )a1156_times=([^;]*)(;|$)"));if(a1156ot==null){a1156ot=1;}else{a1156ot=parseInt(unescape((a1156ot)[2])); a1156ot=(a1156ops==1)?(a1156ot+1):(a1156ot);}a1156oe.setTime(a1156oe.getTime()+365*24*60*60*1000);document.cookie="a1156_times="+a1156ot+";path=/;expires="+a1156oe.toGMTString();}catch(e){}
try{if(document.cookie==""){a1156ops=-1;a1156ot=-1;}}catch(e){}
a1156of=a1156sf;if(a1156pf!=="51la"){a1156of=a1156pf;}if(a1156tf!=="51la"){a1156of=a1156tf;}a1156op=a1156pu;try{lainframe}catch(e){a1156op=a1156su;}
a1156src='(0-a1156d.getTimezoneOffset()/60)+'&tcolor='+a1156color+'&sSize='+screen.width+','+screen.height+'&referrer='+escape(a1156of)+'&vpage='+escape(a1156op)+'&vvtime='+a1156d.getTime();
setTimeout('a1156img = new Image;a1156img.src=a1156src;',0);
15

Lassen Sie uns dies bereinigen und genauer betrachten. Ich habe auch einige HTML-Entitäten durch ihre Textäquivalente ersetzt:

Fügen Sie der Seite ein verknüpftes Bild hinzu. Chinesische Schriftzeichen wurden verschlüsselt, aber ich halte dies nicht für verdächtig:

document.write('<a href="http://www.51.la/?17211156" target="_blank"><img alt="51.la 专业、免费、强健的访问统计" src="http://icon.ajiang.net/icon_8.gif" style="border:none" /></a>\n');

Initialisieren Sie eine Reihe von Variablen, hauptsächlich mit Attributen für den Browser und die Seite, z. B. den HTTP-Referrer und die aktuelle URL, das Datum, die Browserauflösung usw.

var a1156tf = "51la";
var a1156pu = "";
var a1156pf = "51la";
var a1156su = window.location;
var a1156sf = document.referrer;
var a1156of = "";
var a1156op = "";
var a1156ops = 1;
var a1156ot = 1;
var a1156d = new Date();
var a1156color = "";
if (navigator.appName == "Netscape") {
    a1156color = screen.pixelDepth;
} else {
    a1156color = screen.colorDepth;
}
try {
    a1156tf = top.document.referrer;
} catch (e) {}
try {
    a1156pu = window.parent.location;
} catch (e) {}
try {
    a1156pf = window.parent.document.referrer;
} catch (e) {}
try {

Scheint nach vorhandenen Cookies zu suchen, die von dieser Anwendung gesetzt wurden, um zu zählen, wie viele Seiten besucht wurden. Dieser Wert wird erhöht und in einem Cookie gespeichert.

    a1156ops = document.cookie.match(new RegExp("(^| )a1156_pages=([^;]*)(;|$)"));
    a1156ops = (a1156ops == null) ? 1 : (parseInt(unescape((a1156ops)[2])) + 1);
    var a1156oe = new Date();
    a1156oe.setTime(a1156oe.getTime() + 60 * 60 * 1000);
    document.cookie = "a1156_pages=" + a1156ops + ";path=/;expires=" + a1156oe.toGMTString();

Es scheint im Grunde zu versuchen, aufzuzeichnen, wie viele verschiedene Seiten Sie angesehen haben. Auch hier wird ein Cookie verwendet, um sich daran zu erinnern, ob Sie bereits besucht haben.

    a1156ot = document.cookie.match(new RegExp("(^| )a1156_times=([^;]*)(;|$)"));
    if (a1156ot == null) {
        a1156ot = 1;
    } else {
        a1156ot = parseInt(unescape((a1156ot)[2]));
        a1156ot = (a1156ops == 1) ? (a1156ot + 1) : (a1156ot);
    }
    a1156oe.setTime(a1156oe.getTime() + 365 * 24 * 60 * 60 * 1000);
    document.cookie = "a1156_times=" + a1156ot + ";path=/;expires=" + a1156oe.toGMTString();

Verschiedenes, wahrscheinlich nur, um unterschiedliche Browserfunktionen und -einstellungen zu berücksichtigen, z. B. das Deaktivieren von Cookies.

} catch (e) {}
try {
    if (document.cookie == "") {
        a1156ops = -1;
        a1156ot = -1;
    }
} catch (e) {}
a1156of = a1156sf;
if (a1156pf !== "51la") {
    a1156of = a1156pf;
}
if (a1156tf !== "51la") {
    a1156of = a1156tf;
}
a1156op = a1156pu;
try {
    lainframe
} catch (e) {
    a1156op = a1156su;
}

Schreiben Sie alle diese Informationen als GET-Parameter in das Quellattribut eines Bildes. Ihr Browser lädt dies, dann kann sein Server die Daten aufzeichnen.

a1156src = 'http://web.51.la:82/go.asp?svid=8&id=17211156&tpages=' + a1156ops + '&ttimes=' + a1156ot + '&tzone=' + (0 - a1156d.getTimezoneOffset() / 60) + '&tcolor=' + a1156color + '&sSize=' + screen.width + ',' + screen.height + '&referrer=' + escape(a1156of) + '&vpage=' + escape(a1156op) + '&vvtime=' + a1156d.getTime();
setTimeout('a1156img = new Image;a1156img.src=a1156src;', 0);

Im Grunde geht es darum, Sie zu verfolgen, einschließlich der Seite, die Sie gerade anzeigen, wie oft Sie die Website angesehen haben, wie viele Seiten Sie angesehen haben, wie hoch Ihre Browserauflösung ist usw.

Dies könnte abhängig von den Umständen böswillig sein, obwohl auf den meisten Websites die Verfolgung einer Form wie Google Analytics ausgeführt wird. Es stellt keine Bedrohung für die Integrität Ihres Computers dar, wenn jemand die Site anzeigt, aber es kann eine Bedrohung für Ihre Privatsphäre sein.

Die ungeraden Variablennamen lassen es wie verschleierte Malware erscheinen, aber ich vermute, dass dies dazu dient, Konflikte bei der Benennung von Variablen mit anderem JavaScript zu vermeiden.

41
thexacre

Nein, es sieht nicht wie ein Virus aus, sondern definitiv wie ein Versuch, Ihre Besuche auf verschiedenen Websites zu verfolgen.

Grundsätzlich werden eine Reihe von Informationen über Ihren Browser, einige Cookies und die Seite, von der Sie stammen, gesammelt und all diese als Parameter in die URL eines Bildes eingefügt, das von einem Server geladen wird. Dieser Server kann diese Informationen aus Ihren Besuchen auf dieser und anderen Websites mit demselben Code in einem Benutzerprofil zusammenfassen, das wahrscheinlich verwendet wird, um Ihnen gezielte Werbung anzuzeigen.

12

Das zeigte sich also auf einer Seite, die ich für jemanden gebaut hatte. Folgendes kann ich symptomatisch sehen (ich bin kein Programmierer).

Diese Software wird speziell auf Websites installiert, um den Google Spider-Bot umzuleiten und eine Menge Inhalte aufzunehmen, die sich nicht auf der Zielwebsite befinden. Wenn Sie im Spiel sind, werden Sie feststellen, dass der Traffic auf der Website erheblich zunimmt, aber es sind keine tatsächlichen Vorteile zu sehen. Was diese Leute tun, ist Google zu sagen, dass es auf einer Website viel mehr Inhalte gibt als tatsächlich. Wenn jemand in einer Google-Suche auf einen dieser gefälschten Links klickt, wird er auf eine Seite weitergeleitet, auf der Waren auf legitimen Websites verkauft werden.

Was passiert ist, dass diese Leute Mitglieder der Websites sind, die die Waren verkaufen, und dass sie Provisionen von jedem Online-Verkauf erhalten.

Sie sind Parasiten, die Tausende von Websites anderer Menschen ausnutzen, um Geld für sich selbst zu verdienen.

0
jimdellvic