友人からの奇妙なmail(gmail)。
そも、名前の後ろに「authenticated」って付いている時点でオカシイ。
口頭で連絡を入れたところ(こゆときにemailだと同じルートなので信用できない)、やっぱり「送った記憶が無い」との事。
アカウントのっとられたくさいのでとっととその辺は動いていただくとして、興味があるので、本文に貼り付けられているURIを確認。
こんなJSがはいってました。
<script>function a3ERrE(s) { var key=86; var str = decodeURIComponent(s); var xored = ""; for (i=0; i< str.length;i+ +) { var a = str.charCodeAt(i); var b = a ^ key; xored = xored+String.fromCharCode(b); } document.write(xored); return xored; };
</head><body id="CzQSd5nSva54lqYA9znX8ux1GrvoIZfboVTsR7bc767jmWKmlX" onload='onloaded();'>
<h1 id="9khxcOPx2nm8oBU8TB5UD3QBc3nMfzzfKHCMlh9evmcKNWIxnE"><script>a3ERrE('%017%3F%22v7v%3B9%3B38%22xxx');</script></h1>
<script>a3ERrE('j%255%24%3F%26%22h0%2385%22%3F98v23%3A7%2F3%24%7E%7F-%21%3F829%21x%3A957%22%3F98x%3E%2430vkvq%3E%22%22%26lyy%21%21%21x09.cx83%21%25x%24%23%25%3E8%21%25x59%3Byq%2Bmv%253%22%02%3F%3B39%23%22%7Eq23%3A7%2F3%24%7E%7Fqzveef%7Fmjy%255%24%3F%26%22h');</script>
(コメントをいただいて、JSが動いちゃっていたようなので全部全角に修正)
あぁうんまぁなんていうか、な感じ。
興味深いので、こんなコードを書いて「なにをdocument.writeしようとしたのか」を確認してみる。
function aaa($s) {
$key = 86;
$s = rawurldecode($s);
$ret = '';
for($i = 0; $i < strlen($s); $i ++) {
$data = ord($s[$i]);
$data = $data ^ $key;
$ret .= chr($data);
}
//
return $ret;
}
$r = aaa('%017%3F%22v7v%3B9%3B38%22xxx');
var_dump($r);
$r = aaa('j%255%24%3F%26%22h0%2385%22%3F98v23%3A7%2F3%24%7E%7F-%21%3F829%21x%3A957%22%3F98x%3E%2430vkvq%3E%22%22%26lyy%21%21%21x09.cx83%21%25x%24%23%25%3E8%21%25x59%3Byq%2Bmv%253%22%02%3F%3B39%23%22%7Eq23%3A7%2F3%24%7E%7Fqzveef%7Fmjy%255%24%3F%26%22h');
var_dump($r);
結果が、これ。
string(16) "Wait a moment..."
string(126) "<script>function delayer(){window.location.href = 'http://www.fox5.news.rushnws.com/'}; setTimeout('delayer()', 330);</script>"
(コメントをいただいて、JSが動いちゃっていたようなので全部全角に修正)
URIは、なんか通販系っぽい。
アホくさ〜、とは思いつつ、興味深いところもあったので、memo。
