Ofuscamiento de una URL de redirección

He recibido un correo electrónico de spam que me pidió que abriera un archivo adjunto, preferiblemente "abrir con Internet Explorer," dijo. Por supuesto que no puedo resistir, pero abrí el archivo con un editor de texto. (Nunca se debe abrir archivos adjuntos de correo electrónico sospechosos. Lo hago porque soy un temerario.)

El archivo adjunto tiene JavaScript código que genera una URL de redirección. Si la URL de esta página web rusa fueron escritos en el claro, escáneres de virus podrían detectar fácilmente y bloquear el correo electrónico. En lugar, esta URL se codifica en una serie, tal como:

f = new Array(118,96,112,49,60,(recorte), 125)

Una función del módulo operado en cada elemento de esta matriz y luego formó el carácter:

s = s r["fromCharCode"]((1*en[j]+j% 3))

El módulo de función permite que el spammer para cambiar el cuerpo de la adjunto de correo electrónico sin cambiar la URL, debido a que el operador de módulo producirá el mismo resultado para diferentes entradas.

La forma más sencilla para identificar la URL es para ejecutar la secuencia de comandos en un intérprete en línea, que generó:

document.location ="http://(recorte).ru:8080/foro / enlaces / column.php";}

Al igual que muchos sitios web de spam cargado, este dominio se registró un día antes de que recibí el correo no deseado.

Advertencia: No abra archivos adjuntos sospechosos o intentar ejecutar un script similar en un navegador web actual. Usted sólo infectar su computadora.
26 de octubre, 2012 Publicado por Jon Jaroker Archivado en: Exploits

Sé el primero en comentar. Deja un comentario

Su dirección de correo electrónico no será publicada. Los campos necesarios están marcados *