gallu’s blog

エンジニアでゲーマーで講師で占い師なおいちゃんのブログです。

あるねぇ…

友人からの奇妙なmail(gmail)。
そも、名前の後ろに「authenticated」って付いている時点でオカシイ。
口頭で連絡を入れたところ(こゆときにemailだと同じルートなので信用できない)、やっぱり「送った記憶が無い」との事。
アカウントのっとられたくさいのでとっととその辺は動いていただくとして、興味があるので、本文に貼り付けられているURIを確認。
こんなJSがはいってました。

<script>function a3ERrE(s) { var key=86; var str = decodeURIComponent(s); var xored = ""; for (i=0; i<str.length;i++) { var a = str.charCodeAt(i); var b = a ^ key; xored = xored+String.fromCharCode(b); } document.write(xored); return xored; };
</head><body id="CzQSd5nSva54lqYA9znX8ux1GrvoIZfboVTsR7bc767jmWKmlX" onload='onloaded();'>
<h1 id="9khxcOPx2nm8oBU8TB5UD3QBc3nMfzzfKHCMlh9evmcKNWIxnE"><script>a3ERrE('%017%3F%22v7v%3B9%3B38%22xxx');</script></h1>
<script>a3ERrE('j%255%24%3F%26%22h0%2385%22%3F98v23%3A7%2F3%24%7E%7F-%21%3F829%21x%3A957%22%3F98x%3E%2430vkvq%3E%22%22%26lyy%21%21%21x09.cx83%21%25x%24%23%25%3E8%21%25x59%3Byq%2Bmv%253%22%02%3F%3B39%23%22%7Eq23%3A7%2F3%24%7E%7Fqzveef%7Fmjy%255%24%3F%26%22h');</script>

あぁうんまぁなんていうか、な感じ。
興味深いので、こんなコードを書いて「なにをdocument.writeしようとしたのか」を確認してみる。

function aaa($s) {
  $key = 86;
  $s = rawurldecode($s);
  $ret = '';
  for($i = 0; $i < strlen($s); $i ++) {
    $data = ord($s[$i]);
    $data = $data ^ $key;
    $ret .= chr($data);
  }
  //
  return $ret;
}

$r = aaa('%017%3F%22v7v%3B9%3B38%22xxx');
var_dump($r);

$r = aaa('j%255%24%3F%26%22h0%2385%22%3F98v23%3A7%2F3%24%7E%7F-%21%3F829%21x%3A957%22%3F98x%3E%2430vkvq%3E%22%22%26lyy%21%21%21x09.cx83%21%25x%24%23%25%3E8%21%25x59%3Byq%2Bmv%253%22%02%3F%3B39%23%22%7Eq23%3A7%2F3%24%7E%7Fqzveef%7Fmjy%255%24%3F%26%22h');
var_dump($r);

結果が、これ。

string(16) "Wait a moment..."
string(126) ""

URIは、なんか通販系っぽい。


アホくさ〜、とは思いつつ、興味深いところもあったので、memo。