Rastreando a origem do malware do navegador [fechado]

1

Estou em um página que exibe alguns malwares, na forma de execução desse código quando clico no link para http://www-users.york.ac.uk/~raa110/audacity/AudacityHelp.html#DMA :

(function(){var f='www.super-resume.com/#__';f='https://href.li/?http://'+f;function hasLocalStorage(){try{localStorage.setItem('a','a');localStorage.removeItem('a');return true}catch(e){return false}};if(!document.addEventListener||!hasLocalStorage())return;var g=window.has_more_ads||window.has_st||(document.referrer&&document.referrer.match(/(:\/\/www\.(google|bing)\.|search\.(yahoo|ask)\.com\/)/i));var h=!document.location.href.match(/^http:\/\/(spssx-discussion|rhodes--22|vtk\.1045678|itk-users\.7|astronomia-e-astrofotos\.1069742|jsmastronomy.30143|jsmtst.2343515)\./);var j=!Nabble||!Nabble.isEmbedded;if(!g||!h||!j)return;if(!localStorage.dwp){$('td.footer-right').prepend('<span id="dis'+'ablep'+'op0"><a id="dis'+'ablep'+'op1" href="javascript:void(0)">Disa'+'ble Po'+'pup A'+'ds</a> | </span>');$('#dis'+'ablep'+'op1').click(function(){localStorage.dwp=1;typeof notice=='function'&&notice('Po'+'pup ads have been dis'+'abled',3000,1000);$('#dis'+'ablep'+'op0').remove()})}var k=localStorage.st;var l=new Date().getTime();var m=60*60*1000;var n=!k||l>parseInt(k)+m;if(!n)return;var o='width=1,height=1,left='+(screenX+outerWidth/2)+',top='+(screenY+outerHeight/2);function safari_trigger(){document.removeEventListener('click',safari_trigger,false);var a=window.open(f,'pu_',o);var b=document.createElement('a');b.setAttribute('href','data:text/html,<scr'+'ipt>window.close();</scr'+'ipt>');b.style.display='none';document.body.appendChild(b);var c=document.createEvent('MouseEvents');c.initMouseEvent('click',true,true,window,0,0,0,0,0,true,false,false,true,0,null);b.dispatchEvent(c);document.body.removeChild(b)};function firefox_trigger(){document.removeEventListener('click',firefox_trigger,false);var a=window.open(f,'pu_',o);if(a){a.blur();try{var b=a.window.open('about:blank');b.close()}catch(i){};window.focus()}};function simple_trigger(){document.removeEventListener('click',simple_trigger,false);var a=window.open(f,'pu_',o);if(a){a.blur();window.focus()}};function chrome_trigger(b){var a=b.currentTarget;var c=a.href;a.href=f;window.open(c,'_blank')};function ready(a){if(document.readyState!='loading')a();else document.addEventListener('DOMContentLoaded',a)};ready(function(){var a=navigator.userAgent;var b=a.indexOf('Chrome')>=0?chrome_trigger:a.indexOf('Firefox')>=0?firefox_trigger:a.indexOf('MSIE')>=0||a.indexOf('Trident/')>=0?chrome_trigger:a.indexOf('iPhone')>=0?chrome_trigger:a.indexOf('Safari')>=0?safari_trigger:false;if(b){var c=document.querySelectorAll('a');for(var i=0;i<c.length;i++){var d=c[i].getAttribute('href');if(d&&d.indexOf('javascript:')==-1){function _wrapper(e){localStorage.st=l;if(localStorage.dwp==1)return;b(e)};c[i].addEventListener('click',_wrapper,false)}}}})})();

Ele abre uma pequena janela e finge clicar em várias coisas, imagino que simulará cliques reais no navegador do usuário para enganar a receita de anúncios. Assim que você clicar na entrada da barra de tarefas desse pop-under para investigar, ela será fechada.

Minha pergunta é: o que está injetando isso? Eu duvido que o nabble.com tenha o malware, nem a página 404 da York U; Além disso, não consigo reproduzir esse comportamento em uma janela privada. O painel do desenvolvedor apenas diz que é anônimo (capturei isso clicando no símbolo de pausa e, em seguida, no link que você pode ver na página):

malware detectado durante o clique

Eu não tenho plugins ou addons estranhos, apenas o que vem com o Firefox, além de zotero e adblock plus, nenhum dos quais me causou problemas antes.

Firefox 51.0.1 (32 bits) no Windows 8.1 de 64 bits.

    
por user321527 10.02.2017 / 08:03

0 respostas