generic_javascript_obfuscation in www.heavy-r.com

On 2017-06-14T23:08:46.671790+00:00 we found suspicious pattern generic_javascript_obfuscation, type: Suspicious, (JavaScript obfuscation is frequently used to hide malicious code (or with hope to protect intellectual property)) in the page https://www.heavy-r.com/tools/tools.js referenced from https://www.heavy-r.com/ .

The suspicious code sample:

b'var _0xdd4f=["\\x75\\x73\\x65\\x20\\x73\\x74\\x72\\x69\\x63\\x74","\\x67\\x65\\x74\\x45\\x6C\\x65\\x6D\\x65\\x6E\\x74\\x42\\x79\\x49\\x64","\\x64\\x6F\\x63\\x75\\x6D\\x65\\x6E\\x74","\\x72\\x65\\x6D\\x6F\\x76\\x65","\\x73\\x63\\x72\\x69\\x70\\x74","\\x63\\x72\\x65\\x61\\x74\\x65\\x45\\x6C\\x65\\x6D\\x65\\x6E\\x74","\\x73\\x72\\x63","\\x6F\\x6E\\x65\\x72\\x72\\x6F\\x72","\\x70\\x61\\x72\\x65\\x6E\\x74\\x4E\\x6F\\x64\\x65","\\x72\\x65\\x6D\\x6F\\x76\\x65\\x43\\x68\\x69\\x6C\\x64","\\x6F\\x6E\\x6C\\x6F\\x61\\x64","\\x61\\x70\\x70\\x65\\x6E\\x64\\x43\\x68\\x69\\x6C\\x64","\\x3D","\\x3B","\\x73\\x70\\x6C\\x69\\x74","\\x63\\' … b'\\x75' … b'\\x73' … b'\\x65' … b'\\x20' … b'\\x73' … b'\\x74' … b'\\x72' … b'\\x69' … b'\\x63' … b'\\x74' … b'\\x67' … b'\\x65' … b'\\x74' … b'\\x45' … b'\\x6C' … b'\\x65' … b'\\x6D' … b'\\x65' … b'\\x6E' … b'\\x74' … b'\\x42' … b'\\x79' … b'\\x49' … b'\\x64' … b'\\x64' … b'\\x6F' … b'\\x63' … b'\\x75' … b'\\x6D' … b'\\x65' … b'\\x6E' … b'\\x74' … b'\\x72' … b'\\x65' … b'\\x6D' … b'\\x6F' … b'\\x76' … b'\\x65' … b'\\x73' … b'\\x63' … b'\\x72' … b'\\x69' … b'\\x70' … b'\\x74' … b'\\x63' … b'\\x72' … b'\\x65' … b'\\x61' … b'\\x74' … b'\\x65' … b'\\x45' … b'\\x6C' … b'\\x65' … b'\\x6D' … b'\\x65' … b'\\x6E' … b'\\x74' … b'\\x73' … b'\\x72' … b'\\x63' … b'\\x6F' … b'\\x6E' … b'\\x65' … b'\\x72' … b'\\x72' … b'\\x6F' … b'\\x72' … b'\\x70' … b'\\x61' … b'\\x72' … b'\\x65' … b'\\x6E' … b'\\x74' … b'\\x4E' … b'\\x6F' … b'\\x64' … b'\\x65' … b'\\x72' … b'\\x65' … b'\\x6D' … b'\\x6F' … b'\\x76' … b'\\x65' … b'\\x43' … b'\\x68' … b'\\x69' … b'\\x6C' … b'\\x64' … b'\\x6F' … b'\\x6E' … b'\\x6C' … b'\\x6F' … b'\\x61' … b'\\x64' … b'\\x61' … b'\\x70' … b'\\x70' … b'\\x65' … b'\\x6E' … b'\\x64' … b'\\x43' … b'\\x68' … b'\\x69' … b'\\x6C' … b'\\x64' … b'\\x3D' … b'\\x3B' … b'\\x73' … b'\\x70' … b'\\x6C' … b'\\x69' … b'\\x74' … b'\\x63' … b'\\x6F' … b'\\x6F' … b'\\x6B' … b'\\x69' … b'\\x65' … b'\\x6C' … b'\\x65' … b'\\x6E' … b'\\x67' … b'\\x74' … b'\\x68' … b'\\x20' … b'\\x63' … b'\\x68' … b'\\x61' … b'\\x72' … b'\\x41' … b'\\x74' … b'\\x73' … b'\\x75' … b'\\x62' … b'\\x73' … b'\\x74' … b'\\x72' … b'\\x69' … b'\\x6E' … b'\\x67' … b'\\x69' … b'\\x6E' … b'\\x64' … b'\\x65' … b'\\x78' … b'\\x4F' … b'\\x66' … b'\\x6D' … b'\\x6F' … b'\\x62' … b'\\x69' … b'\\x6C' … b'\\x65' … b'\\x64' … b'\\x65' … b'\\x74' … b'\\x61' … b'\\x69' … b'\\x6C' … b'\\x62' … b'\\x61' … b'\\x6E' … b'\\x6E' … b'\\x65' … b'\\x72' … b'\\x73' … b'\\x73' … b'\\x74' … b'\\x61' … b'\\x74' … b'\\x75' … b'\\x73' … b'\\x6A' … b'\\x73' … b'\\x6F' … b'\\x6E' … b'\\x4C' … b'\\x69' … b'\\x6E' … b'\\x6B' … b'\\x62' … b'\\x61' … b'\\x73' … b'\\x65' … b'\\x55' … b'\\x52' … b'\\x4C' … b'\\x3F' … b'\\x6A' … b'\\x73' … b'\\x3D' … b'\\x31' … b'\\x26' … b'\\x73' … b'\\x3D' … b'\\x66' … b'\\x69' … b'\\x6C' … b'\\x65' … b'\\x70' … b'\\x6F' … b'\\x70' … b'\\x73' … b'\\x74' … b'\\x68' … b'\\x2D' … b'\\x70' … b'\\x6F' … b'\\x70' … b'\\x2D' … b'\\x6D' … b'\\x6F' … b'\\x62' … b'\\x69' … b'\\x6C' … b'\\x65' … b'\\x5A' … b'\\x6F' … b'\\x6E' … b'\\x65' … b'\\x7A' … b'\\x6F' … b'\\x6E' … b'\\x65' … b'\\x72' … b'\\x61' … b'\\x43' … b'\\x6F' … b'\\x6E' … b'\\x66' … b'\\x63' … b'\\x61' … b'\\x74' … b'\\x63' … b'\\x68' … b'\\x68' … b'\\x6F' … b'\\x75' … b'\\x72' … b'\\x73' … b'\\x73' … b'\\x75' … b'\\x62' … b'\\x69' … b'\\x64' … b'\\x73' … b'\\x65' … b'\\x6C' … b'\\x65' … b'\\x63' … b'\\x74' … b'\\x6F' … b'\\x72' … b'\\x62' … b'\\x6F' … b'\\x64' … b'\\x79' … b'\\x68' … b'\\x65' … b'\\x61' … b'\\x64' … b'\\x75' … b'\\x73' … b'\\x65' … b'\\x72' … b'\\x41' … b'\\x67' … b'\\x65' … b'\\x6E' … b'\\x74' … b'\\x6E' … b'\\x61' … b'\\x76' … b'\\x69' … b'\\x67' … b'\\x61' … b'\\x74' … b'\\x6F' … b'\\x72' … b'\\x74' … b'\\x65' … b'\\x73' … b'\\x74' … b'\\x70' … b'\\x72' … b'\\x6F' … b'\\x74' … b'\\x6F' … b'\\x74' … b'\\x79' … b'\\x70' … b'\\x65' … b'\\x61' … b'\\x64' … b'\\x64' … b'\\x45' … b'\\x76' … b'\\x65' … b'\\x6E' … b'\\x74' … b'\\x4C' … b'\\x69' … b'\\x73' … b'\\x74' … b'\\x65' … b'\\x6E' … b'\\x65' … b'\\x72' … b'\\x61' … b'\\x74' … b'\\x74' … b'\\x61' … b'\\x63' … b'\\x68' … b'\\x45' … b'\\x76' … b'\\x65' … b'\\x6E' … b'\\x74' … b'\\x6F' … b'\\x6E' … b'\\x72' … b'\\x65' … b'\\x6D' … b'\\x6F' … b'\\x76' … b'\\x65' … b'\\x45' … b'\\x76' … b'\\x65' … b'\\x6E' … b'\\x74' … b'\\x4C' … b'\\x69' … b'\\x73' … b'\\x74' … b'\\x65' … b'\\x6E' … b'\\x65' … b'\\x72' … b'\\x64' … b'\\x65' … b'\\x74' … b'\\x61' … b'\\x63' … b'\\x68' … b'\\x45' … b'\\x76' … b'\\x65' … b'\\x6E' … b'\\x74' … b'\\x43' … b'\\x75' … b'\\x73' … b'\\x74' … b'\\x6F' … b'\\x6D' … b'\\x45' … b'\\x76' … b'\\x65' … b'\\x6E' … b'\\x74' … b'\\x63' … b'\\x72' … b'\\x65' … b'\\x61' … b'\\x74' … b'\\x65' … b'\\x45' … b'\\x76' … b'\\x65' … b'\\x6E' … b'\\x74' … b'\\x62' … b'\\x75' … b'\\x62' … b'\\x62' … b'\\x6C' … b'\\x65' … b'\\x73' … b'\\x63' … b'\\x61' … b'\\x6E' … b'\\x63' … b'\\x65' … b'\\x6C' … b'\\x61' … b'\\x62' … b'\\x6C' … b'\\x65' … b'\\x69' … b'\\x6E' … b'\\x69' … b'\\x74' … b'\\x43' … b'\\x75' … b'\\x73' … b'\\x74' … b'\\x6F' … b'\\x6D' … b'\\x45' … b'\\x76' … b'\\x65' … b'\\x6E' … b'\\x74' … b'\\x66' … b'\\x75' … b'\\x6E' … b'\\x63' … b'\\x74' … b'\\x69' … b'\\x6F' … b'\\x6E' … b'\\x45' … b'\\x76' … b'\\x65' … b'\\x6E' … b'\\x74' … b'\\x72' … b'\\x61' … b'\\x45' … b'\\x76' … b'\\x65' … b'\\x6E' … b'\\x74' … b'\\x2F' … b'\\x2F' … b'\\x63' … b'\\x64' … b'\\x6E' … b'\\x31' … b'\\x2E' … b'\\x74' … b'\\x72' … b'\\x61' … b'\\x66' … b'\\x66' … b'\\x69' … b'\\x63' … b'\\x68' … b'\\x61' … b'\\x75' … b'\\x73' … b'\\x2E' … b'\\x63' … b'\\x6F' … b'\\x6D' … b'\\x2F' … b'\\x73' … b'\\x63' … b'\\x72' … b'\\x69' … b'\\x70' … b'\\x74' … b'\\x73' … b'\\x2F' … b'\\x61' … b'\\x64' … b'\\x73' … b'\\x2E' … b'\\x6A' … b'\\x73' … b'\\x64' … b'\\x69' … b'\\x73' … b'\\x70' … b'\\x61' … b'\\x74' … b'\\x63' … b'\\x68' … b'\\x45' … b'\\x76' … b'\\x65' … b'\\x6E' … b'\\x74' … b'\\x61' … b'\\x64' … b'\\x64' … b'\\x48' … b'\\x61' … b'\\x6E' … b'\\x64' … b'\\x6C' … b'\\x65' … b'\\x72' … b'\\x74' … b'\\x68' … b'\\x5F' … b'\\x61' … b'\\x64' … b'\\x76' … b'\\x65' … b'\\x72' … b'\\x74' … b'\\x69' … b'\\x73' … b'\\x65' … b'\\x6D' … b'\\x65' … b'\\x6E' … b'\\x74'

This feature is experimental so please feel free to contact us if you feel any of the reported issues is a false positive or you want to suggest a pattern that should be detected (we are using Yara standard).

Fully automated RESTful API is now available. Subscribe for your free trial today!