Que fait ce fichier javascript? Est-ce un virus?

Lors dune recherche sur Google, jai trouvé un site Web qui montre un ensemble de contenu au robot Google et un autre aux utilisateurs (en redirigeant vers un nouveau domaine), et aussi un fichier Javascript très suspect. Cest peut-être un cookie de suivi ou un virus / malware, je ne sais pas, donc je demande ici si quelquun peut vous aider à expliquer le code?

Si le site est « sûr » pourquoi redirige-t-il un moteur de recherche sur un site Web normal, et les utilisateurs sur une page vierge en chargeant ce fichier .js? Pourquoi devrait-il avoir un getpassword.asp hébergé sur le deuxième domaine redirigé (à partir de lanalyse sucuri)?

document.write ("<a href="" target="_blank"><img alt="&#x35;&#x31;&#x2E;&#x6C;&#x61;&#x20;&#x4E13;&#x4E1A;&#x3001;&#x514D;&#x8D39;&#x3001;&#x5F3A;&#x5065;&#x7684;&#x8BBF;&#x95EE;&#x7EDF;&#x8BA1;" src="" style="" /></a>\n"); var a1156tf="51la";var a1156pu="";var a1156pf="51la";var a1156su=window.location;var a1156sf=document.referrer;var a1156of="";var a1156op="";var a1156ops=1;var a1156ot=1;var a1156d=new Date();var a1156color="";if (navigator.appName=="Netscape"){a1156color=screen.pixelDepth;} else {a1156color=screen.colorDepth;} try{a1156tf=top.document.referrer;}catch(e){} try{a1156pu =window.parent.location;}catch(e){} try{a1156pf=window.parent.document.referrer;}catch(e){} try{a1156ops=document.cookie.match(new RegExp("(^| )a1156_pages=([^;]*)(;|$)"));a1156ops=(a1156ops==null)?1: (parseInt(unescape((a1156ops)[2]))+1);var a1156oe =new Date();a1156oe.setTime(a1156oe.getTime()+60*60*1000);document.cookie="a1156_pages="+a1156ops+ ";path=/;expires="+a1156oe.toGMTString();a1156ot=document.cookie.match(new RegExp("(^| )a1156_times=([^;]*)(;|$)"));if(a1156ot==null){a1156ot=1;}else{a1156ot=parseInt(unescape((a1156ot)[2])); a1156ot=(a1156ops==1)?(a1156ot+1):(a1156ot);}a1156oe.setTime(a1156oe.getTime()+365*24*60*60*1000);document.cookie="a1156_times="+a1156ot+";path=/;expires="+a1156oe.toGMTString();}catch(e){} try{if(document.cookie==""){a1156ops=-1;a1156ot=-1;}}catch(e){} a1156of=a1156sf;if(a1156pf!=="51la"){a1156of=a1156pf;}if(a1156tf!=="51la"){a1156of=a1156tf;}a1156op=a1156pu;try{lainframe}catch(e){a1156op=a1156su;} a1156src="(0-a1156d.getTimezoneOffset()/60)+"&tcolor="+a1156color+"&sSize="+screen.width+","+screen.height+"&referrer="+escape(a1156of)+"&vpage="+escape(a1156op)+"&vvtime="+a1156d.getTime(); setTimeout("a1156img = new Image;a1156img.src=a1156src;",0); 

Commentaires

  • Si ce genre de chose vous dérange, utilisez un plug-in ou une extension de navigateur qui bloque les sites Web de suivi tiers. Cependant, vous ‘ priverez le site Web de revenus.

Réponse

Nettoyons ceci et regardons-le de plus près, jai également remplacé certaines entités HTML par leur équivalent texte:

Ajoutez une image liée à la page, les caractères chinois ont été encodés mais je ne « Je ne pense pas que cela soit suspect:

document.write("<a href="http://www.51.la/?17211156" target="_blank"><img alt="51.la 专业、免费、强健的访问统计" src="http://icon.ajiang.net/icon_8.gif" style="border:none" /></a>\n"); 

Initialise un tas de variables, principalement avec des attributs sur le navigateur et la page, tels que le référent HTTP et lURL actuelle , date, résolution du navigateur, etc.

var a1156tf = "51la"; var a1156pu = ""; var a1156pf = "51la"; var a1156su = window.location; var a1156sf = document.referrer; var a1156of = ""; var a1156op = ""; var a1156ops = 1; var a1156ot = 1; var a1156d = new Date(); var a1156color = ""; if (navigator.appName == "Netscape") { a1156color = screen.pixelDepth; } else { a1156color = screen.colorDepth; } try { a1156tf = top.document.referrer; } catch (e) {} try { a1156pu = window.parent.location; } catch (e) {} try { a1156pf = window.parent.document.referrer; } catch (e) {} try { 

Semble rechercher tous les cookies existants définis par cette application afin de garder un compte du nombre de pages visité. Cette valeur est incrémentée et stockée dans un cookie.

 a1156ops = document.cookie.match(new RegExp("(^| )a1156_pages=([^;]*)(;|$)")); a1156ops = (a1156ops == null) ? 1 : (parseInt(unescape((a1156ops)[2])) + 1); var a1156oe = new Date(); a1156oe.setTime(a1156oe.getTime() + 60 * 60 * 1000); document.cookie = "a1156_pages=" + a1156ops + ";path=/;expires=" + a1156oe.toGMTString(); 

Il semble essentiellement essayer denregistrer le nombre de pages distinctes que vous avez consultées. Encore une fois, il utilise un cookie pour vous aider à vous souvenir si vous avez déjà visité.

 a1156ot = document.cookie.match(new RegExp("(^| )a1156_times=([^;]*)(;|$)")); if (a1156ot == null) { a1156ot = 1; } else { a1156ot = parseInt(unescape((a1156ot)[2])); a1156ot = (a1156ops == 1) ? (a1156ot + 1) : (a1156ot); } a1156oe.setTime(a1156oe.getTime() + 365 * 24 * 60 * 60 * 1000); document.cookie = "a1156_times=" + a1156ot + ";path=/;expires=" + a1156oe.toGMTString(); 

Divers éléments, probablement juste pour répondre aux différentes capacités et paramètres du navigateur, tels que cookies désactivés.

} catch (e) {} try { if (document.cookie == "") { a1156ops = -1; a1156ot = -1; } } catch (e) {} a1156of = a1156sf; if (a1156pf !== "51la") { a1156of = a1156pf; } if (a1156tf !== "51la") { a1156of = a1156tf; } a1156op = a1156pu; try { lainframe } catch (e) { a1156op = a1156su; } 

Écrivez toutes ces informations en tant que paramètres GET dans lattribut source dune image. Votre navigateur le chargera puis son serveur pourra enregistrer les données .

a1156src = "http://web.51.la:82/go.asp?svid=8&id=17211156&tpages=" + a1156ops + "&ttimes=" + a1156ot + "&tzone=" + (0 - a1156d.getTimezoneOffset() / 60) + "&tcolor=" + a1156color + "&sSize=" + screen.width + "," + screen.height + "&referrer=" + escape(a1156of) + "&vpage=" + escape(a1156op) + "&vvtime=" + a1156d.getTime(); setTimeout("a1156img = new Image;a1156img.src=a1156src;", 0); 

En gros, il vous suit, y compris la page que vous « consultez, le nombre de fois que vous » avez consulté le site, le nombre de pages que vous  » que vous avez consultés, quelle est la résolution de votre navigateur, etc.

Cela pourrait être malveillant selon les circonstances, bien que la plupart des sites Web utilisent une forme de suivi telle que Google Analytics. t constituent une menace pour lintégrité de votre machine en tant que personne qui consulte le site, mais cela peut constituer une menace pour votre vie privée.

Les noms de variables impairs donnent limpression dêtre des logiciels malveillants obscurcis, mais je suppose que cest pour éviter les conflits de noms de variables avec dautres JavaScript.

Commentaires

  • Il sagit dun concurrent Google Analytics appelé  » 51.la « . Le site suivi ici est  » promgirl.de « . Sur la version chinoise de ce site, ils ‘ ont probablement la même discussion sur les  » i, s, o, g, r, a, m  » système de suivi. 🙂
  • Notez que bien que ce script soit lui-même inoffensif, les trackers 51.la sont très souvent utilisés dans les exploits de malwares chinois. Si vu sur un site non connecté à la Chine, je considérerais la présence dun script 51 comme un signal dalarme pour un compromis probable.

Réponse

Non, cela ne ressemble pas à un virus, mais certainement à une tentative de suivre vos visites sur différents sites.

Fondamentalement, il recueille un tas dinformations sur votre navigateur , certains cookies et de quelle page vous venez, et met tous ceux-ci en tant que paramètres dans lURL dune image quil charge à partir dun serveur. Ce serveur peut ensuite regrouper ces informations issues de vos visites sur ce site et sur dautres sites avec le même code dans un profil utilisateur, qui sera probablement utilisé pour vous montrer des publicités ciblées.

Réponse

Donc, ceci est apparu sur un site que javais construit pour quelquun. Voici ce que je peux voir de manière symptomatique (je ne suis pas un programmeur).

Ce logiciel est installé sur des sites spécifiquement pour rediriger le bot google spider pour récupérer une tonne de contenu qui ne se trouve pas réellement sur le site ciblé . Lorsque vous jouez, vous verrez le trafic vers le site Web augmenter considérablement, mais il ny a aucun avantage réel à voir. Ce que ces gars font, cest dire à Google quil y a beaucoup plus de contenu sur un site Web quil ne lest en réalité. Quand quelquun clique sur lun de ces faux liens à partir dune recherche Google, il est redirigé vers une page qui vend des produits sur des sites légitimes.

Ce qui se passe, cest que ces types sont des affiliés des sites qui vendent le et ils reçoivent des commissions sur chaque vente en ligne.

Ce sont des parasites qui exploitent les sites de milliers dautres personnes pour gagner de largent par eux-mêmes.

Réponse

Jai été confronté aux mêmes alertes dans notre environnement, donc jétais curieux de savoir ce qui génère ce trafic. Quand vous y réfléchissez, il doit y avoir des logiciels malveillants installés dans votre navigateur en tant que plug-in ou similaire, car je peux clairement voir les résultats de recherche Google avec cette URL.

Exemple:

web.51.la:82/go.asp?svid=8&id=15942596&tpages=1&ttimes=1&tzone=8&tcolor=24&sSize=1440,900&referrer=https://www.google.de/&vpage=http://www.qupingche.com/comment/show/103&vvtime=1409818963602 

Lorsque vous accédez à la page http://www.qupingche.com/comment/show/103, cest un site Web chinois que je suis sûr à 100% que vous navez pas visité. Sur sa page, vous pouvez voir les éléments web51.la dans ce script:

<script language="javascript" type="text/javascript" src="http://js.users.51.la/15942596.js"> </script> 

Et quand vous vérifiez la variable de le JavaScript, il incrémente lemplacement demandé de un toutes les 10 secondes.

Voici ce que jai vu:

js.users.51.la/15942596.js 

Et cest la dernière avec le même contenu:

js.users.51.la/15994950.js 

Ainsi, lorsque vous voyez cette demande de votre client, il doit y avoir un logiciel malveillant générant cette demande sur votre ordinateur !

Commentaires

  • Comme mentionné dans les réponses ci-dessous, ce script fournit un mécanisme de suivi pour les propriétaires de sites Web. Il ne repose pas sur un plugin installé par les utilisateurs. Cela semble innocent, mais peut-être une menace pour la vie privée – exactement de la même manière que Google Analytics.
  • Pourquoi seriez-vous sûr à 100% des sites que dautres personnes ont visités?
  • Il ny a ‘ absolument pas besoin de quelque chose du côté client pour générer ces requêtes uniques . Je ne vois également aucune preuve que ‘ se déroule. Les auteurs auraient pu mettre en place un serveur Web qui accepte nimporte quelle requête .js (ou une où le nom de fichier est un nombre, relativement facile à faire avec, disons, RewriteCond et RegEx sur Apache) et redirige vers un seul fichier sur le serveur. Avec le nom unique généré côté serveur pour chaque requête afin quil puisse ‘ être simplement bloqué par son nom, pour servir de simple compteur, requête obfuscation, suivi, équilibrage de charge ou toute autre raison quils auraient pu avoir.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *