O que esse arquivo javascript faz? Isso é um vírus?

Ao pesquisar no Google, encontrei um site que mostra um conjunto de conteúdo para o Google Bot e outro para os usuários (redirecionando para um novo domínio), e também um arquivo Javascript muito suspeito. Talvez seja um cookie de rastreamento ou um vírus / malware, não sei, então estou perguntando aqui se alguém pode ajudar a explicar o código?

Se o site é “seguro”, por que ele redireciona um mecanismo de pesquisa para um site normal e os usuários para uma página em branco carregando este arquivo .js? Por que deveria ter um getpassword.asp hospedado no segundo domínio redirecionado (de sucuri scan)?

document.write ("<a href="" target="_blank"><img alt="&#x35;&#x31;&#x2E;&#x6C;&#x61;&#x20;&#x4E13;&#x4E1A;&#x3001;&#x514D;&#x8D39;&#x3001;&#x5F3A;&#x5065;&#x7684;&#x8BBF;&#x95EE;&#x7EDF;&#x8BA1;" src="" style="" /></a>\n"); var a1156tf="51la";var a1156pu="";var a1156pf="51la";var a1156su=window.location;var a1156sf=document.referrer;var a1156of="";var a1156op="";var a1156ops=1;var a1156ot=1;var a1156d=new Date();var a1156color="";if (navigator.appName=="Netscape"){a1156color=screen.pixelDepth;} else {a1156color=screen.colorDepth;} try{a1156tf=top.document.referrer;}catch(e){} try{a1156pu =window.parent.location;}catch(e){} try{a1156pf=window.parent.document.referrer;}catch(e){} try{a1156ops=document.cookie.match(new RegExp("(^| )a1156_pages=([^;]*)(;|$)"));a1156ops=(a1156ops==null)?1: (parseInt(unescape((a1156ops)[2]))+1);var a1156oe =new Date();a1156oe.setTime(a1156oe.getTime()+60*60*1000);document.cookie="a1156_pages="+a1156ops+ ";path=/;expires="+a1156oe.toGMTString();a1156ot=document.cookie.match(new RegExp("(^| )a1156_times=([^;]*)(;|$)"));if(a1156ot==null){a1156ot=1;}else{a1156ot=parseInt(unescape((a1156ot)[2])); a1156ot=(a1156ops==1)?(a1156ot+1):(a1156ot);}a1156oe.setTime(a1156oe.getTime()+365*24*60*60*1000);document.cookie="a1156_times="+a1156ot+";path=/;expires="+a1156oe.toGMTString();}catch(e){} try{if(document.cookie==""){a1156ops=-1;a1156ot=-1;}}catch(e){} a1156of=a1156sf;if(a1156pf!=="51la"){a1156of=a1156pf;}if(a1156tf!=="51la"){a1156of=a1156tf;}a1156op=a1156pu;try{lainframe}catch(e){a1156op=a1156su;} a1156src="(0-a1156d.getTimezoneOffset()/60)+"&tcolor="+a1156color+"&sSize="+screen.width+","+screen.height+"&referrer="+escape(a1156of)+"&vpage="+escape(a1156op)+"&vvtime="+a1156d.getTime(); setTimeout("a1156img = new Image;a1156img.src=a1156src;",0); 

Comentários

  • Se esse tipo de coisa incomoda você, use um plug-in ou extensão do navegador que bloqueie sites de rastreamento de terceiros. Você ‘ privará o site de receita.

Resposta

Vamos limpar isso e olhar mais de perto, eu também substituí algumas entidades HTML por seus equivalentes em texto:

Adicione uma imagem vinculada à página, os caracteres chineses foram codificados, mas eu não “Acho que isso é suspeito:

document.write("<a href="http://www.51.la/?17211156" target="_blank"><img alt="51.la 专业、免费、强健的访问统计" src="http://icon.ajiang.net/icon_8.gif" style="border:none" /></a>\n"); 

Inicialize um monte de variáveis, principalmente com atributos sobre o navegador e a página, como o referenciador HTTP e o URL atual , data, resolução do navegador, etc.

var a1156tf = "51la"; var a1156pu = ""; var a1156pf = "51la"; var a1156su = window.location; var a1156sf = document.referrer; var a1156of = ""; var a1156op = ""; var a1156ops = 1; var a1156ot = 1; var a1156d = new Date(); var a1156color = ""; if (navigator.appName == "Netscape") { a1156color = screen.pixelDepth; } else { a1156color = screen.colorDepth; } try { a1156tf = top.document.referrer; } catch (e) {} try { a1156pu = window.parent.location; } catch (e) {} try { a1156pf = window.parent.document.referrer; } catch (e) {} try { 

Parece estar procurando por quaisquer cookies existentes definidos por este aplicativo para manter uma contagem de quantas páginas têm foi visitado. Este valor é incrementado e armazenado em um cookie.

 a1156ops = document.cookie.match(new RegExp("(^| )a1156_pages=([^;]*)(;|$)")); a1156ops = (a1156ops == null) ? 1 : (parseInt(unescape((a1156ops)[2])) + 1); var a1156oe = new Date(); a1156oe.setTime(a1156oe.getTime() + 60 * 60 * 1000); document.cookie = "a1156_pages=" + a1156ops + ";path=/;expires=" + a1156oe.toGMTString(); 

Basicamente, parece estar tentando registrar quantas páginas distintas você visualizou. Mais uma vez, ele usa um cookie para ajudar a lembrar se você já visitou.

 a1156ot = document.cookie.match(new RegExp("(^| )a1156_times=([^;]*)(;|$)")); if (a1156ot == null) { a1156ot = 1; } else { a1156ot = parseInt(unescape((a1156ot)[2])); a1156ot = (a1156ops == 1) ? (a1156ot + 1) : (a1156ot); } a1156oe.setTime(a1156oe.getTime() + 365 * 24 * 60 * 60 * 1000); document.cookie = "a1156_times=" + a1156ot + ";path=/;expires=" + a1156oe.toGMTString(); 

Coisas diversas, provavelmente apenas para atender a diferentes recursos e configurações do navegador, como cookies sendo desabilitados.

} catch (e) {} try { if (document.cookie == "") { a1156ops = -1; a1156ot = -1; } } catch (e) {} a1156of = a1156sf; if (a1156pf !== "51la") { a1156of = a1156pf; } if (a1156tf !== "51la") { a1156of = a1156tf; } a1156op = a1156pu; try { lainframe } catch (e) { a1156op = a1156su; } 

Grave todas essas informações como parâmetros GET no atributo de origem de uma imagem. Seu navegador carregará isso, então o servidor poderá registrar os dados .

a1156src = "http://web.51.la:82/go.asp?svid=8&id=17211156&tpages=" + a1156ops + "&ttimes=" + a1156ot + "&tzone=" + (0 - a1156d.getTimezoneOffset() / 60) + "&tcolor=" + a1156color + "&sSize=" + screen.width + "," + screen.height + "&referrer=" + escape(a1156of) + "&vpage=" + escape(a1156op) + "&vvtime=" + a1156d.getTime(); setTimeout("a1156img = new Image;a1156img.src=a1156src;", 0); 

Basicamente, ele está rastreando você, incluindo a página que você “está vendo, quantas vezes você” viu o site, quantas páginas você ” vi, qual é a resolução do seu navegador, etc.

Isso pode ser malicioso dependendo das circunstâncias, embora a maioria dos sites execute o rastreamento de alguma forma, como o Google Analytics. t representam uma ameaça à integridade de sua máquina como alguém que visualiza o site, mas pode ser uma ameaça à sua privacidade.

Os nomes de variáveis estranhos fazem com que pareça malware ofuscado, mas suspeito que isso evite conflitos de nomenclatura de variável com outro JavaScript.

Comentários

  • Este é um concorrente do Google Analytics chamado ” 51.la “. O site rastreado aqui é ” promgirl.de “. Na versão chinesa deste site, eles ‘ provavelmente estão tendo a mesma discussão sobre a aparência suspeita ” i, s, o, g, r, a, m ” sistema de rastreamento. 🙂
  • Observe que, embora este script seja inofensivo, os rastreadores 51.la são freqüentemente usados em exploits de malware chineses. Se visto em um site não conectado de outra forma à China, consideraria a presença de um script 51 como uma bandeira vermelha para provável comprometimento.

Resposta

Não, não parece um vírus, mas definitivamente uma tentativa de rastrear suas visitas em diferentes sites.

Basicamente, ele coleta um monte de informações sobre o seu navegador , alguns cookies e de qual página você veio, e coloca tudo isso como parâmetros no URL de uma imagem que carrega de um servidor. Esse servidor pode então agregar essas informações de suas visitas a este e outros sites com o mesmo código em um perfil de usuário, que provavelmente será usado para mostrar publicidade direcionada.

Resposta

Isso apareceu em um site que eu construí para alguém. Aqui está o que posso ver sintomaticamente (não sou um programador).

Este software é instalado em sites especificamente para redirecionar o bot do Google spider para coletar uma tonelada de conteúdo que não está realmente no site de destino . Quando em jogo, você verá o tráfego para o site aumentar significativamente, mas não há benefícios reais a serem vistos. O que esses caras estão fazendo é dizer ao Google que há muito mais conteúdo em um site do que realmente é. Quando alguém clica em um desses links falsos de uma pesquisa do Google, é redirecionado para uma página que vende produtos em sites legítimos.

O que está acontecendo é que esses caras são afiliados dos sites que vendem o produtos e estão recebendo comissões por cada venda on-line.

Eles são parasitas que exploram sites de milhares de outras pessoas para ganhar dinheiro para si próprios.

Resposta

Fui confrontado com os mesmos alertas em nosso ambiente, então estava curioso para saber o que está gerando esse tráfego. Quando você pensa sobre isso, deve haver algum malware instalado em seu navegador como um plug-in ou semelhante, porque posso ver claramente os resultados de pesquisa do Google com este URL.

Exemplo:

web.51.la:82/go.asp?svid=8&id=15942596&tpages=1&ttimes=1&tzone=8&tcolor=24&sSize=1440,900&referrer=https://www.google.de/&vpage=http://www.qupingche.com/comment/show/103&vvtime=1409818963602 

Quando você acessa a página http://www.qupingche.com/comment/show/103, é um site chinês que tenho 100% de certeza que você não visitou. Em sua página, você pode ver as web51.la coisas neste script:

<script language="javascript" type="text/javascript" src="http://js.users.51.la/15942596.js"> </script> 

E quando você verifica a variável de o JavaScript, ele está incrementando o local solicitado em um a cada 10 segundos.

Isso é o que eu vi:

js.users.51.la/15942596.js 

E este é o mais recente com o mesmo conteúdo:

js.users.51.la/15994950.js 

Portanto, quando você vir esta solicitação do seu cliente, deve haver algum malware gerando essa solicitação no seu computador !

Comentários

  • Conforme mencionado nas respostas a seguir, este script fornece um mecanismo de rastreamento para proprietários de sites. Ele não depende de um plugin instalado pelos usuários. Parece ser inocente, embora possivelmente uma ameaça à privacidade – exatamente da mesma forma que o Google Analytics é.
  • Por que você estaria 100% certo sobre quais sites outras pessoas visitaram?
  • Não ‘ não há absolutamente nenhuma necessidade de algo no lado do cliente para gerar essas solicitações únicas . Também não vejo evidências de que ‘ está ocorrendo. Os perpetradores podem ter configurado um servidor web que aceita qualquer solicitação .js (ou um em que nome de arquivo é um número, relativamente fácil de fazer com, digamos, RewriteCond e RegEx no Apache) e redireciona para um único arquivo no servidor. Com o nome exclusivo gerado no lado do servidor para cada solicitação, para que possa ‘ ser simplesmente bloqueado por seu nome, para servir como um contador simples, solicitação ofuscação, rastreamento, balanceamento de carga ou qualquer outro motivo que eles possam ter.

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *