Que fait ce fichier javascript? Est-ce un virus?
En recherchant sur Google, j'ai trouvé un site Web qui montre un ensemble de contenu au Google Bot et un autre aux utilisateurs (en redirigeant vers un nouveau domaine), ainsi qu'un fichier Javascript très suspect. C'est peut-être un cookie de suivi ou un virus/malware, je ne sais pas, donc je demande ici si quelqu'un peut aider à expliquer le code?
Si le site est "sûr", pourquoi redirige-t-il un moteur de recherche vers un site Web normal et les utilisateurs vers une page vierge en chargeant ce fichier .js? Pourquoi devrait-il avoir un getpassword.asp hébergé sur le deuxième domaine redirigé (à partir de l'analyse de sucuri)?
document.write ('<a href="" target="_blank"><img alt="51.la 专业、免费、强健的访问统计" src="" style="" /></a>\n');
var a1156tf="51la";var a1156pu="";var a1156pf="51la";var a1156su=window.location;var a1156sf=document.referrer;var a1156of="";var a1156op="";var a1156ops=1;var a1156ot=1;var a1156d=new Date();var a1156color="";if (navigator.appName=="Netscape"){a1156color=screen.pixelDepth;} else {a1156color=screen.colorDepth;}
try{a1156tf=top.document.referrer;}catch(e){}
try{a1156pu =window.parent.location;}catch(e){}
try{a1156pf=window.parent.document.referrer;}catch(e){}
try{a1156ops=document.cookie.match(new RegExp("(^| )a1156_pages=([^;]*)(;|$)"));a1156ops=(a1156ops==null)?1: (parseInt(unescape((a1156ops)[2]))+1);var a1156oe =new Date();a1156oe.setTime(a1156oe.getTime()+60*60*1000);document.cookie="a1156_pages="+a1156ops+ ";path=/;expires="+a1156oe.toGMTString();a1156ot=document.cookie.match(new RegExp("(^| )a1156_times=([^;]*)(;|$)"));if(a1156ot==null){a1156ot=1;}else{a1156ot=parseInt(unescape((a1156ot)[2])); a1156ot=(a1156ops==1)?(a1156ot+1):(a1156ot);}a1156oe.setTime(a1156oe.getTime()+365*24*60*60*1000);document.cookie="a1156_times="+a1156ot+";path=/;expires="+a1156oe.toGMTString();}catch(e){}
try{if(document.cookie==""){a1156ops=-1;a1156ot=-1;}}catch(e){}
a1156of=a1156sf;if(a1156pf!=="51la"){a1156of=a1156pf;}if(a1156tf!=="51la"){a1156of=a1156tf;}a1156op=a1156pu;try{lainframe}catch(e){a1156op=a1156su;}
a1156src='(0-a1156d.getTimezoneOffset()/60)+'&tcolor='+a1156color+'&sSize='+screen.width+','+screen.height+'&referrer='+escape(a1156of)+'&vpage='+escape(a1156op)+'&vvtime='+a1156d.getTime();
setTimeout('a1156img = new Image;a1156img.src=a1156src;',0);
Nettoyons cela et regardons cela de plus près, j'ai également remplacé certaines entités HTML par leur équivalent texte:
Ajoutez une image liée à la page, les caractères chinois ont été encodés mais je ne pense pas que ce soit suspect:
document.write('<a href="http://www.51.la/?17211156" target="_blank"><img alt="51.la 专业、免费、强健的访问统计" src="http://icon.ajiang.net/icon_8.gif" style="border:none" /></a>\n');
Initialisez un tas de variables, principalement avec des attributs sur le navigateur et la page, tels que le référent HTTP et l'URL actuelle, la date, la résolution du navigateur, etc.
var a1156tf = "51la";
var a1156pu = "";
var a1156pf = "51la";
var a1156su = window.location;
var a1156sf = document.referrer;
var a1156of = "";
var a1156op = "";
var a1156ops = 1;
var a1156ot = 1;
var a1156d = new Date();
var a1156color = "";
if (navigator.appName == "Netscape") {
a1156color = screen.pixelDepth;
} else {
a1156color = screen.colorDepth;
}
try {
a1156tf = top.document.referrer;
} catch (e) {}
try {
a1156pu = window.parent.location;
} catch (e) {}
try {
a1156pf = window.parent.document.referrer;
} catch (e) {}
try {
Semble rechercher des cookies existants définis par cette application afin de garder un décompte du nombre de pages visitées. Cette valeur est incrémentée et stockée dans un cookie.
a1156ops = document.cookie.match(new RegExp("(^| )a1156_pages=([^;]*)(;|$)"));
a1156ops = (a1156ops == null) ? 1 : (parseInt(unescape((a1156ops)[2])) + 1);
var a1156oe = new Date();
a1156oe.setTime(a1156oe.getTime() + 60 * 60 * 1000);
document.cookie = "a1156_pages=" + a1156ops + ";path=/;expires=" + a1156oe.toGMTString();
Il semble essentiellement essayer d'enregistrer le nombre de pages distinctes que vous avez consultées. Encore une fois, il utilise un cookie pour vous rappeler si vous avez déjà visité.
a1156ot = document.cookie.match(new RegExp("(^| )a1156_times=([^;]*)(;|$)"));
if (a1156ot == null) {
a1156ot = 1;
} else {
a1156ot = parseInt(unescape((a1156ot)[2]));
a1156ot = (a1156ops == 1) ? (a1156ot + 1) : (a1156ot);
}
a1156oe.setTime(a1156oe.getTime() + 365 * 24 * 60 * 60 * 1000);
document.cookie = "a1156_times=" + a1156ot + ";path=/;expires=" + a1156oe.toGMTString();
Divers, probablement juste pour répondre aux différentes capacités et paramètres du navigateur, comme la désactivation des cookies.
} catch (e) {}
try {
if (document.cookie == "") {
a1156ops = -1;
a1156ot = -1;
}
} catch (e) {}
a1156of = a1156sf;
if (a1156pf !== "51la") {
a1156of = a1156pf;
}
if (a1156tf !== "51la") {
a1156of = a1156tf;
}
a1156op = a1156pu;
try {
lainframe
} catch (e) {
a1156op = a1156su;
}
Écrivez toutes ces informations en tant que paramètres GET dans l'attribut source d'une image. Votre navigateur le chargera, puis son serveur pourra enregistrer les données.
a1156src = 'http://web.51.la:82/go.asp?svid=8&id=17211156&tpages=' + a1156ops + '&ttimes=' + a1156ot + '&tzone=' + (0 - a1156d.getTimezoneOffset() / 60) + '&tcolor=' + a1156color + '&sSize=' + screen.width + ',' + screen.height + '&referrer=' + escape(a1156of) + '&vpage=' + escape(a1156op) + '&vvtime=' + a1156d.getTime();
setTimeout('a1156img = new Image;a1156img.src=a1156src;', 0);
Fondamentalement, il vous suit, y compris la page que vous consultez, le nombre de fois que vous avez consulté le site, le nombre de pages que vous avez consultées, la résolution de votre navigateur, etc.
Cela pourrait être malveillant selon les circonstances, bien que la plupart des sites Web exécutent le suivi d'une forme telle que Google Analytics. Cela ne constitue pas une menace pour l'intégrité de votre machine en tant que personne consultant le site, mais cela pourrait constituer une menace pour votre vie privée.
Les noms de variables impairs donnent l'impression que des logiciels malveillants sont obscurcis, mais je pense que cela évite les conflits de noms de variables avec d'autres JavaScript.
Non, cela ne ressemble pas à un virus, mais certainement à une tentative de suivre vos visites sur différents sites.
Fondamentalement, il recueille un tas d'informations sur votre navigateur, certains cookies et la page dont vous venez, et met tout cela en tant que paramètres dans l'URL d'une image qu'il charge à partir d'un serveur. Ce serveur peut ensuite regrouper ces informations de vos visites sur ce site et d'autres sites avec le même code dans un profil utilisateur, qui sera probablement utilisé pour vous montrer de la publicité ciblée.
Donc, cela est apparu sur un site que j'avais construit pour quelqu'un. Voici ce que je peux voir de façon symptomatique (je ne suis pas programmeur).
Ce logiciel est installé sur des sites spécifiquement pour rediriger le robot araignée Google pour récupérer une tonne de contenu qui n'est pas réellement sur le site ciblé. En jeu, vous verrez le trafic sur le site Web augmenter de manière significative, mais il n'y a aucun avantage réel à voir. Ce que ces gars font, c'est de dire à Google qu'il y a beaucoup plus de contenu sur un site Web qu'en réalité. Lorsque quelqu'un clique sur l'un de ces faux liens à partir d'une recherche Google, il est redirigé vers une page qui vend des marchandises sur des sites légitimes.
Ce qui se passe, c'est que ces gars-là sont affiliés aux sites qui vendent les marchandises et reçoivent des commissions sur chaque vente en ligne.
Ce sont des parasites qui exploitent des milliers de sites d'autres peuples pour se faire de l'argent.