このjavascriptファイルは何をしますか?これはウイルスですか?

Googleで検索しているときに、1セットのコンテンツをGoogle Botに表示し、もう1セットをユーザーに表示する(新しいドメインにリダイレクトする)Webサイトを見つけました。また、非常に疑わしいJavascriptファイルもあります。たぶんそれは「追跡Cookieまたはウイルス/マルウェア、私にはわからない」ので、誰かがコードを説明するのを手伝ってくれるかどうかここで尋ねていますか?

サイトが「安全」である場合、なぜリダイレクトするのですか?この.jsファイルをロードして、検索エンジンを通常のWebサイトに移動し、ユーザーを空白のページに移動しますか? (sucuriスキャンからの)2番目のリダイレクトされたドメインでgetpassword.aspをホストする必要があるのはなぜですか?

document.write ("<a href="" target="_blank"><img alt="&#x35;&#x31;&#x2E;&#x6C;&#x61;&#x20;&#x4E13;&#x4E1A;&#x3001;&#x514D;&#x8D39;&#x3001;&#x5F3A;&#x5065;&#x7684;&#x8BBF;&#x95EE;&#x7EDF;&#x8BA1;" src="" style="" /></a>\n"); var a1156tf="51la";var a1156pu="";var a1156pf="51la";var a1156su=window.location;var a1156sf=document.referrer;var a1156of="";var a1156op="";var a1156ops=1;var a1156ot=1;var a1156d=new Date();var a1156color="";if (navigator.appName=="Netscape"){a1156color=screen.pixelDepth;} else {a1156color=screen.colorDepth;} try{a1156tf=top.document.referrer;}catch(e){} try{a1156pu =window.parent.location;}catch(e){} try{a1156pf=window.parent.document.referrer;}catch(e){} try{a1156ops=document.cookie.match(new RegExp("(^| )a1156_pages=([^;]*)(;|$)"));a1156ops=(a1156ops==null)?1: (parseInt(unescape((a1156ops)[2]))+1);var a1156oe =new Date();a1156oe.setTime(a1156oe.getTime()+60*60*1000);document.cookie="a1156_pages="+a1156ops+ ";path=/;expires="+a1156oe.toGMTString();a1156ot=document.cookie.match(new RegExp("(^| )a1156_times=([^;]*)(;|$)"));if(a1156ot==null){a1156ot=1;}else{a1156ot=parseInt(unescape((a1156ot)[2])); a1156ot=(a1156ops==1)?(a1156ot+1):(a1156ot);}a1156oe.setTime(a1156oe.getTime()+365*24*60*60*1000);document.cookie="a1156_times="+a1156ot+";path=/;expires="+a1156oe.toGMTString();}catch(e){} try{if(document.cookie==""){a1156ops=-1;a1156ot=-1;}}catch(e){} a1156of=a1156sf;if(a1156pf!=="51la"){a1156of=a1156pf;}if(a1156tf!=="51la"){a1156of=a1156tf;}a1156op=a1156pu;try{lainframe}catch(e){a1156op=a1156su;} a1156src="(0-a1156d.getTimezoneOffset()/60)+"&tcolor="+a1156color+"&sSize="+screen.width+","+screen.height+"&referrer="+escape(a1156of)+"&vpage="+escape(a1156op)+"&vvtime="+a1156d.getTime(); setTimeout("a1156img = new Image;a1156img.src=a1156src;",0); 

コメント

  • このようなことが気になる場合は、サードパーティの追跡Webサイトをブロックするブラウザプラグインまたは拡張機能を使用してください。ただし、'ウェブサイトから収益を奪うことになります。

回答

これをクリーンアップして詳しく見てみましょう。また、一部のHTMLエンティティを同等のテキストに置き換えました。

リンクされた画像をページに追加します。漢字はエンコードされていますが、私はしません。 「これは疑わしいとは思わない:

document.write("<a href="http://www.51.la/?17211156" target="_blank"><img alt="51.la 专业、免费、强健的访问统计" src="http://icon.ajiang.net/icon_8.gif" style="border:none" /></a>\n"); 

HTTPリファラーや現在のURLなど、主にブラウザーとページに関する属性を使用して、一連の変数を初期化します。 、日付、ブラウザの解像度など。

var a1156tf = "51la"; var a1156pu = ""; var a1156pf = "51la"; var a1156su = window.location; var a1156sf = document.referrer; var a1156of = ""; var a1156op = ""; var a1156ops = 1; var a1156ot = 1; var a1156d = new Date(); var a1156color = ""; if (navigator.appName == "Netscape") { a1156color = screen.pixelDepth; } else { a1156color = screen.colorDepth; } try { a1156tf = top.document.referrer; } catch (e) {} try { a1156pu = window.parent.location; } catch (e) {} try { a1156pf = window.parent.document.referrer; } catch (e) {} try { 

ページ数をカウントするために、このアプリケーションによって設定された既存のCookieを探しているようです。この値は増分され、Cookieに保存されます。

 a1156ops = document.cookie.match(new RegExp("(^| )a1156_pages=([^;]*)(;|$)")); a1156ops = (a1156ops == null) ? 1 : (parseInt(unescape((a1156ops)[2])) + 1); var a1156oe = new Date(); a1156oe.setTime(a1156oe.getTime() + 60 * 60 * 1000); document.cookie = "a1156_pages=" + a1156ops + ";path=/;expires=" + a1156oe.toGMTString(); 

基本的に、表示した個別のページの数を記録しようとしているようです。繰り返しになりますが、Cookieを使用して、「すでにアクセスしたことがあるかどうかを思い出すのに役立ちます。

 a1156ot = document.cookie.match(new RegExp("(^| )a1156_times=([^;]*)(;|$)")); if (a1156ot == null) { a1156ot = 1; } else { a1156ot = parseInt(unescape((a1156ot)[2])); a1156ot = (a1156ops == 1) ? (a1156ot + 1) : (a1156ot); } a1156oe.setTime(a1156oe.getTime() + 365 * 24 * 60 * 60 * 1000); document.cookie = "a1156_times=" + a1156ot + ";path=/;expires=" + a1156oe.toGMTString(); 

さまざまなブラウザの機能や設定に対応するためなど、さまざまなものCookieが無効になっています。

} catch (e) {} try { if (document.cookie == "") { a1156ops = -1; a1156ot = -1; } } catch (e) {} a1156of = a1156sf; if (a1156pf !== "51la") { a1156of = a1156pf; } if (a1156tf !== "51la") { a1156of = a1156tf; } a1156op = a1156pu; try { lainframe } catch (e) { a1156op = a1156su; } 

このすべての情報をGETパラメータとして画像のソース属性に書き込みます。ブラウザがこれをロードすると、サーバーがデータを記録できるようになります。 。

a1156src = "http://web.51.la:82/go.asp?svid=8&id=17211156&tpages=" + a1156ops + "&ttimes=" + a1156ot + "&tzone=" + (0 - a1156d.getTimezoneOffset() / 60) + "&tcolor=" + a1156color + "&sSize=" + screen.width + "," + screen.height + "&referrer=" + escape(a1156of) + "&vpage=" + escape(a1156op) + "&vvtime=" + a1156d.getTime(); setTimeout("a1156img = new Image;a1156img.src=a1156src;", 0); 

基本的には、「表示しているページ」、「サイトを表示した回数」、「ページ数」など、ユーザーを追跡します。確認済み、ブラウザの解像度など。

ほとんどのウェブサイトはGoogleAnalyticsなどの何らかの形式の追跡を実行していますが、状況によっては悪意のあるものになる可能性があります。 サイトを閲覧している人としてあなたのマシンの完全性に脅威を与えるが、それはあなたのプライバシーに脅威を与える可能性がある。

奇妙な変数名は難読化されたマルウェアのように見えますが、これは他のJavaScriptとの変数名の競合を回避するためだと思います。

コメント

  • これは" 51.la "というGoogleアナリティクスの競合企業です。ここで追跡されるサイトは" promgirl.de "です。このサイトの中国語版では、'疑わしい" i、s、o、について同じ議論をしている可能性があります。 g、r、a、m "追跡システム。 🙂
  • このスクリプト自体は無害ですが、51.laトラッカーは中国のマルウェアエクスプロイトで非常に頻繁に使用されていることに注意してください。他の方法で中国に接続されていないサイトで見られた場合、私は51スクリプトの存在を、侵害の可能性のある危険信号と見なします。

回答

いいえ、ウイルスのようには見えませんが、さまざまなサイトでの訪問を追跡する試みのようです。

基本的に、ブラウザに関する一連の情報を収集します。 、いくつかのCookieとあなたがどのページから来たのか、そしてこれらすべてをパラメータとしてサーバーからロードする画像のURLに入れます。そのサーバーは、同じコードを使用してこのサイトや他のサイトにアクセスしたときのこの情報をユーザープロファイルに集約できます。これは、ターゲットを絞った広告を表示するために使用される可能性があります。

回答

それで、これは私が誰かのために構築したサイトに現れました。これが私が症状として見ることができるものです(私はプログラマーではありません)。

このソフトウェアは、実際にはターゲットサイトにない大量のコンテンツを取得するようにグーグルスパイダーボットをリダイレクトするために特別にサイトにインストールされます。プレイ中は、ウェブサイトへのトラフィックが大幅に増加しますが、実際のメリットは見られません。これらの人がしていることは、実際よりもはるかに多くのコンテンツがウェブサイトにあることをグーグルに伝えています。誰かがグーグル検索からこれらの偽のリンクの1つをクリックすると、正当なサイトで商品を販売するページにリダイレクトされます。

何が起こっているのかというと、これらの人は販売しているサイトのアフィリエイトです。商品と彼らは各オンライン販売から手数料を得ています。

彼らは自分たちのためにお金を稼ぐために他の何千もの人々のサイトを悪用する寄生虫です。

回答

私たちの環境でも同じアラートに直面したので、このトラフィックを何が生成しているのか興味がありました。考えてみると、このURLでGoogleの検索結果がはっきりとわかるので、プラグインなどとしてブラウザにマルウェアをインストールする必要があります。

例:

web.51.la:82/go.asp?svid=8&id=15942596&tpages=1&ttimes=1&tzone=8&tcolor=24&sSize=1440,900&referrer=https://www.google.de/&vpage=http://www.qupingche.com/comment/show/103&vvtime=1409818963602 

ページhttp://www.qupingche.com/comment/show/103にアクセスすると、「アクセスしなかったと100%確信している」中国のWebサイトです。そのページでは、このスクリプトでweb51.laのものを見ることができます:

<script language="javascript" type="text/javascript" src="http://js.users.51.la/15942596.js"> </script> 

そして、の変数をチェックするとJavaScriptの場合、要求された場所が10秒ごとに1つずつ増加します。

これは私が見たものです:

js.users.51.la/15942596.js 

そしてこれは同じコンテンツの最新のもの:

js.users.51.la/15994950.js 

したがって、クライアントからのこのリクエストを見ると、コンピューター上でこのリクエストを生成するマルウェアが存在する必要があります。 !

コメント

  • 以下の回答に記載されているように、このスクリプトはWebサイトの所有者に追跡メカニズムを提供します。ユーザーがインストールしたプラグインには依存しません。 Google Analyticsとまったく同じように、プライバシーを脅かす可能性はありますが、無実のようです。
  • 他のユーザーがアクセスしたサイトについて100%確信しているのはなぜですか?
  • 'これらの一意のリクエストを生成するためにクライアント側で何かを行う必要はまったくありません。また、'が発生しているという証拠も見当たりません。加害者は、 .js リクエスト(またはファイル名が数字である場合、たとえば RewriteCond およびApacheのRegEx)を実行し、サーバー上の単一のファイルにリダイレクトします。リクエストごとにサーバー側で生成される一意の名前を使用して、'名前で単純にブロックすることはできず、単純なカウンターとして機能します。難読化、追跡、負荷分散、またはその他の理由。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です