JavaScript_obfuscation in goo4anywhere.com

On 2020-05-08T01:39:42.619449+00:00 we found pattern JavaScript_obfuscation, type: Suspicious, (JavaScript obfuscation is frequently used to hide malicious code (or with hope to protect intellectual property)) in the page https://goo4anywhere.com/7f/f9/4e/7ff94… referenced from http://onejav.com/ .

Code sample:

b'var _0x560045' … b'var _0x2b1d24' … b'var _0x3410e8' … b'var _0x20667c' … b'var _0x32e54d' … b'var _0x49dd20' … b'var _0x1e655e' … b'var _0x4b6880' … b'var _0xa3b275' … b'var _0x3b6a3e' … b'var _0x3eeeee' … b'var _0x288b20' … b'var _0x464637' … b'var _0x5af0fb' … b'var _0x413e8c' … b'var _0x55ba8d' … b'var _0x9f6833' … b'var _0xd4fcdf' … b'var _0x5394eb' … b'var _0x558983' … b'var _0x2db42d' … b'var _0x593c80' … b'var _0x27875a' … b'var _0x20a80a' … b'var _0x239822' … b'var _0x3dc492' … b'var _0x31cb32' … b'var _0x412796' … b'var _0x26e4dd' … b'var _0x475f33' … b'var _0x227607' … b'var _0x447d0f' … b'var _0x4281c9' … b'var _0x421ff7' … b'var _0x413463' … b'var _0x1bfb61' … b'var _0x5a1126' … b'var _0x3bf09d' … b'var _0x3a3682' … b'var _0xbd989a' … b'var _0x3a69db' … b'var _0x3a69db' … b'var _0x2ef272' … b'var _0x5781f3' … b'var _0x441006' … b'var _0x14f7f9' … b'var _0x382f0d' … b'var _0x346c85' … b'var _0x1b5a39' … b'var _0xbcef28' … b'var _0x2acb1f' … b'var _0x4e51f8' … b'var _0x5c49cc' … b'var _0x1e518b' … b'var _0x5089c7' … b'var _0x2ba599' … b'var _0x237aa5' … b'var _0x593edf' … b'var _0x4aa6b4' … b'_0x255dd1=_0x255dd1' … b'_0x3b6a3e=_0x5b804b' … b'_0x3eeeee=_0xa3b275' … b'_0x5af0fb=_0x468b5f' … b'_0x5af0fb=_0x468b5f' … b'_0x5af0fb=_0x468b5f' … b'_0x413e8c=_0x468b5f' … b'_0x413e8c=_0x468b5f' … b'_0x413e8c=_0x468b5f' … b'_0x2b19fe=_0x5f2b88' … b'_0x4b207b=_0x387b1c' … b'_0x24d5ae=_0xc0b950' … b'_0x57f082=_0x387b1c' … b'_0x494c0b=_0x387b1c' … b'_0x104720=_0x1bcd45' … b'_0x2fe9aa=_0x340a1e' … b'_0x20a80a=_0x387b1c' … b'_0x20a80a=_0x387b1c' … b'_0x1bcd45=_0x387b1c' … b'_0x3dc492=_0x4de2a9' … b'_0x3d1049=_0x519c0e' … b'_0x29b466=_0x356058' … b'_0x231d77=_0x247193' … b'_0x4f84a8=_0x31cb32' … b'_0x475f33=_0x454ae9' … b'_0x3d4b45=_0x454ae9' … b'_0x254fa0=_0x454ae9' … b'_0x1dcd7c=_0x475f33' … b'_0x3d4b45=_0x3d4b45' … b'_0x227607=_0x454ae9' … b'_0x1b5b53=_0x454ae9' … b'_0x306751=_0x227607' … b'_0x1bfb61=_0x38d03f' … b'_0x3a3682=_0x53c200' … b'_0x14f7f9=_0x382f0d' … b'_0x26abe3=_0x26abe3' … b'_0x1b5a39=_0x6206e7' … b'_0x1b5a39=_0x1b5a39' … b'_0x569881=_0x4e51f8' … b'_0x2ba599=_0x57ecc9' … b'_0x593edf=_0x57ecc9' … b'_0x560045(' … b'_0x5b804b(' … b'_0x5b804b(' … b'_0x5b804b(' … b'_0x58c699(' … b'_0x122ebc(' … b'_0x414b92(' … b'_0x414b92(' … b'_0x459f8d(' … b'_0x459f8d(' … b'_0x3bdacd(' … b'_0x3e482b(' … b'_0x22ee33(' … b'_0x22ee33(' … b'_0x22ee33(' … b'_0x22ee33(' … b'_0x22ee33(' … b'_0x22ee33(' … b'_0xdb14b1(' … b'_0xdb14b1(' … b'_0xdb14b1(' … b'_0xd96293(' … b'_0x545b47(' … b'_0x519c0e(' … b'_0x4de2a9(' … b'_0x247193(' … b'_0x356058(' … b'_0x12360d(' … b'_0xc0b950(' … b'_0x340a1e(' … b'_0xc0b950(' … b'_0x4de2a9(' … b'_0x519c0e(' … b'_0x356058(' … b'_0x247193(' … b'_0x12360d(' … b'_0x3bf09d(' … b'_0x3bf09d(' … b'_0x3e482b(' … b'_0x3bdacd(' … b'_0x22ee33(' … b'_0x22ee33(' … b'_0xd96293(' … b'_0x22ee33(' … b'_0x22ee33(' … b'_0x22ee33(' … b'_0x22ee33(' … b'_0x22ee33(' … b'_0x22ee33(' … b'_0x545b47(' … b'_0x545b47(' … b'function _0x3bdacd(' … b'function _0x3e482b(' … b'function _0xdb14b1(' … b'function _0xd96293(' … b'function _0x545b47(' … b'function _0x519c0e(' … b'function _0x4de2a9(' … b'function _0x247193(' … b'function _0x356058(' … b'function _0x12360d(' … b'function _0xc0b950(' … b'return _0x2b1d24' … b'return _0x423aad' … b'return _0x42af30' … b'return _0x468b5f' … b'return _0x5f2b88' … b'return _0x57ecc9' … b'return _0x35836f' … b'return _0x35836f' … b'return _0x17f713' … b'return _0x494c0b' … b'return _0x20a80a' … b'return _0x29b466' … b'return _0x239822' … b'return _0x48fabf' … b'return _0x412796' … b'return _0x54e844' … b'return _0x254fa0' … b'return _0x421ff7' … b'return _0x454ae9' … b'return _0x22ee33' … b'return _0x22ee33' … b'return _0x39ea8d' … b'return _0x3a69db' … b'return _0x441006' … b'return _0x382f0d' … b'return _0x346c85' … b'return _0x407580' … b'return _0x26abe3' … b'return _0x569881' … b'return _0x57ecc9'

This feature is experimental so please feel free to contact us if you feel any of the reported issues is a false positive or you want to suggest a pattern that should be detected (we are using Yara standard).