Что делает этот скрипт?

Question

[Даниил Демидко]

То что я сейчас расскажу похоже прозвучит как бред -- но всё именно так и было, и ко мне в голову уже начинает лезть разная параноидальная дичь.
Я открыл загруженный с официального сайта Tor Browser и сразу вбил в адресную строку свой сайтик на Git Pages.
К моему удивлению вместо него начал открываться этот адрес:
https://s.click.taobao.com/t_js?tu=https%3A%2F%2Fs...

Я в ужасе быстро остановил загрузку и скопировал исходный код этой страницы (прогрузится она не успела белый экран):

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta content="always" name="referrer">
</head>
<body>
<script type='text/javascript'>
function htmlspecialchars(str){  
    str = str.replace(/</g, '&lt;');
    str = str.replace(/>/g, '&gt;');
    str = str.replace(/"/g, '&quot;');
    str = str.replace(/'/g, '&#039;');
    return str;
}

function bol(){
    if (top.location != self.location) {
        return false;
    }
    var schema = (("https:" == document.location.protocol) ? "https" : "http");
    var qs = location.search.split("?")[location.search.split("?").length-1].split("&");
    qso = {};
    for (var i=0; i<qs.length; i++){
        if (qs[i]!="") {
            var tmpa = qs[i].split("=");
            qso[tmpa[0]] = tmpa[1] ? tmpa[1] : "";
        }
    }
    
    if(!qso.tu){
        exit;
    } 
    
    var jump_url;
    if (qso.tu.indexOf("https") === 0){
        jump_url = qso.tu.substr(5);
    } else if(qso.tu.indexOf("http") === 0){
        jump_url = qso.tu.substr(4);
    }else{
        exit;
    }
    
    var jump_address = schema+jump_url;

    var real_jump_address = unescape(jump_address);
    if (htmlspecialchars(real_jump_address).length != real_jump_address.length) {
        exit;
    }
   
    if (jump_url.indexOf("%3A%2F%2Fs.click.taobao.com%2F")===0
        || jump_url.indexOf("%3A%2F%2Fi.click.taobao.com%2F")===0
        || jump_url.indexOf("%3A%2F%2Fglobal.click.taobao.com%2F")===0
        || jump_url.indexOf("%3A%2F%2Fs.click.alimama.com%2F")===0
        || jump_url.indexOf("%3A%2F%2Fitem8.taobao.com%2F")===0
        || jump_url.indexOf("%3A%2F%2Fshop8.taobao.com%2F")===0
    ) {
        if (!window.attachEvent) {
            document.write('<input style="display:none" type="button" id="exe" value="" onclick="window.location=\'' + real_jump_address + '\'">');
            document.getElementById('exe').click();
        } else {
            document.write('<a style="display:none" href="' + real_jump_address + '" id="exe"></a>');
            document.getElementById('exe').click();
        }
    }
}//end of bol()
bol();
</script>
</body>
</html>

Вопрос, как такое может быть, и что делает этот код?

Comments

[Руслан Полин]

Какой-то рекламный модуль, который при клике перенаправляет на сайты. Собственно, здесь даже ссылки прописаны куда перенаправлять.

Answer 1

[Axian Ltd.]

Судя по всему либо Tor Broswer ужу заражен, либо ваш компьютер. Скритп пытается скачать и запустить какой-то файл.

Comments

[Даниил Демидко]

Что теперь можно сделать? Как его отловить?

[Даниил Демидко]

Я имею ввиду источник скрипта

[Axian Ltd.]

Раз это заражение - то лечиться. Антивирусами вестимо, если вы не владеете техниками ручного и полуавтоматического поиска заразы.

[Кирилл]

Скорее вирус на компе, наврядли в офф. дистрибутиве тора. Что бы подтвердить эту теорию скачайте какой-нибудь новый браузер (яндекс-браузер, оперу) установите и запустите. Если тоже начнет загружаться какая-нибудь херня, значит вирус на компе.

[Axian Ltd.]

Кирилл Кубляков: Логично

[Владимир Мартьянов]

Что-то я не вижу ни скачивания, ни запуска. Где они в коде?

[Кирилл]

Даниил Демидко: вот был похожий вопрос Во всех браузерах после загрузки страницы, открывается непонятный сайт. Как удалить вирус открывающий сайты?

[Axian Ltd.]

Владимир Мартьянов: Он похоже делает подбрасывает ссылку чтобы пользователь нажал на нее. Без пользователя exe похоже не загрузится. Но все равно, раз такаю штука выпрыгивает - значит уже дроппер сидит.

[Владимир Мартьянов]

Axian Ltd.: Учитывая вашу изначальную неверную интерпретацию работы скрипта я бы не был столь уверен :-P

[Даниил Демидко]

Axian Ltd.: Где поискать дроппер? Неохота загаживать компьютер антивирусом

[Даниил Демидко]

Axian Ltd.: Есть способ его найти? Я просто ни разу с таким не сталкивался.

[Axian Ltd.]

Владимир Мартьянов: Вот ИМХО самый подозрительный участок - строится адрес перехода, прицепляется что-то с id exe и имитируется клик:
-------------
document.write('');
document.getElementById('exe').click();
--------------

[Axian Ltd.]

Даниил Демидко: Если у вас 10-ка, то там есть встроенный антивирус - возможно он справится.
Если нет - найдите в И-нете загрузочный диск с антивирусом и проверьте компьютер. И у Веба, и у Касперского есть такие.