Twitter Updates
- RT @boeserseo: Facebook XSS Lücke -> http://bseo.me/2h 1 day ago
- RT @Der_Dee: LOL! RT @LohukiDD: Adminwitz des Tages: "Deine Mutter arbeitet bei PING als Zeitüberschreitung" 1 week ago
- Netzneutralität - von Alexander Endl "GANZ GANZ EINFACH ERKLÄRT FÜR JEDERMANN" http://bit.ly/a5fGCW 2 weeks ago
- Intel CEO: ?We need antivirus, can someone buy me McAfee?? Few hours later: ?Done.? ?Great, which version?? ?Version ? ?? (via diverse) 2 weeks ago
- OSX: Snow Leopard Grafik-Update verfügbar: http://bit.ly/ayIcRb ^RK 2 weeks ago
- Ubuntu 10.04.1 LTS released - http://bit.ly/bqxvu9 2 weeks ago
- Schon bei Debian GNU/Linux bedankt? :-) http://thank.debian.net/ 2 weeks ago
- RT @alextgordon: On reconsideration, GIMP beats Filezilla for "Worst UI in existence" 2 weeks ago
- RT @ChrisZwitschert: #Debian wird heute 17 Jahre alt! Herzlichen Glückwunsch! 3 weeks ago
- Nerd-Shirts bei SPON vorgestellt: http://bit.ly/anlChx ^RK 3 weeks ago
- RT "@heiseonline: Oracle kehrt OpenSolaris den Rücken http://bit.ly/dq12Vy" aber bitte lasst #ZFS am leben! ^MP 3 weeks ago
- 1Password Beta für Windows erhältlich - bestes Passwort-Tool ever! http://bit.ly/92fHU1 ^RK 3 weeks ago
- RT @comex: Source now available for anyone interested: http://github.com/comex/star #iPhone #ios #jailbreak 3 weeks ago
- [...]derzeit würden die Menschen alle zwei Tage so viele Daten generieren, wie die die gesamte Menschheit bis 2003 erzeugt habe[...] #wow 1 month ago
- Herzliche Glückwünsche: Lisa Simpson hat heute geheiratet :D S06E19 "Lisas future" #The #Simpsons #010810 ^MP 1 month ago
- Happy SysAdmin-Day allen Admins da draußen!!! Auf das wir heute unsere verdiente Anerkennung bekommen :-) #sysadminday #2010 ^MP 1 month ago
- Für alle Konsoleros: Mortal Kombat double feature auf Kabel1 #games ^MP #finish #him :D 1 month ago
- für alle die noch ne "kleine" Nebeneinkunft suchen, sollte ja in ner Woche erledigt sein: http://bit.ly/bZiEdo :-D ^MP 1 month ago
- "InnoDB is now the default storage engine, rather than MyISAM, in the regular and enterprise versions of MySQL. " #mysql ^RK 1 month ago
- RT @FlashMueller: Live-TV auf dem iPad / iPhone erneut möglich: ARD, ZDF, RTL und Co als Live-Stream auch für? http://goo.gl/fb/0Xpji 2 months ago
- RT @jonoberheide: rm -rf ~/.cache; ln -s /etc/shadow ~/.cache; ssh localhost (trigger pam_motd by re-logging in and you'll own /etc/shadow) 2 months ago
- Neu im Blog: Spam mal anders: via Twitter oder Facebook auf SPON und anderen Newsseiten spammen http://bit.ly/ae2RMC 2 months ago
- Glückwunsch! Der @parkrocker hat unser Belkin KFZ-Set von T-Mobile auf dem Blog gewonnen :) http://bit.ly/cisky2 2 months ago
- für alle Java Fans da draußen: http://bit.ly/cNvWi0 #lol :D ^MP 2 months ago
- RT @iphone_dev: ultrasn0w 0.93 released! Cydia repo is repo666.ultrasn0w.com. Works with basebands 04.26.08 thru 05.13.04 2 months ago
< memcached im Einsatz mit MySql und PHP | Endlich Patch für web'n'walk Manager - mwconn dennoch gute Alternative >
Thursday, 25. December 2008
Seltsames JavaScript in Homepage eingebunden - Sinn und Ursprung unbekannt
Ein Bekannter von mir hatte unlängst auf seinem Windows-PC einen Virus- bzw. Trojaner, der dort eine Weile sein Unwesen trieb. Um welchen Störenfried es sich dabei genau gehandelt hat, weiss ich leider nicht. Nachdem der Schadcode von seinem Rechner entfernt war, fiel ihm allerdings auf, dass sich auf seiner Website etwas verändert hat. Und zwar wurde dort schädliches JavaScript eingefügt. Zur Betrachtung im Textformat habe ich das Ganze hier hochgeladen.
Meine Analyse ergab allerdings nicht wirklich ein brauchbares Ergebnis - auf jeden Fall wird irgendwelches wirr kodiertes JS aus dem initialen String etwas verändert und anschließend via eval() ausgeführt. Was der Code aber genau macht, habe ich leider nicht herausfinden können. Vielleicht hat das ein Leser hier eine zündende Idee?
Ebenso unklar bleibt, wie der Code denn nun in das Index-Dokument seiner Website kam, die bei einem beliebigen ISP gelagert ist. Sollte der Trojaner tatsächlich das FTP-Programm, Dreamweaver oder gar Eclipse bemüht haben, um den Code auf die Seite hochzuladen? Es kann natürlich auch sein, dass der lokale Virus und das mutmaßlich schädliche JS auf dem Server des Providers in keinem Zusammenhang stehen. Im schlimmsten Fall ist gar der komplette Server beim ISP kompromittiert. Auf dem Webserver des Providers scheint aber wenigstens Linux mit Apache und PHP 4.4.9 zu laufen - das ergibt sich zumindest aus den Header-Informationen des Webservers.
Meine Analyse ergab allerdings nicht wirklich ein brauchbares Ergebnis - auf jeden Fall wird irgendwelches wirr kodiertes JS aus dem initialen String etwas verändert und anschließend via eval() ausgeführt. Was der Code aber genau macht, habe ich leider nicht herausfinden können. Vielleicht hat das ein Leser hier eine zündende Idee?
Ebenso unklar bleibt, wie der Code denn nun in das Index-Dokument seiner Website kam, die bei einem beliebigen ISP gelagert ist. Sollte der Trojaner tatsächlich das FTP-Programm, Dreamweaver oder gar Eclipse bemüht haben, um den Code auf die Seite hochzuladen? Es kann natürlich auch sein, dass der lokale Virus und das mutmaßlich schädliche JS auf dem Server des Providers in keinem Zusammenhang stehen. Im schlimmsten Fall ist gar der komplette Server beim ISP kompromittiert. Auf dem Webserver des Providers scheint aber wenigstens Linux mit Apache und PHP 4.4.9 zu laufen - das ergibt sich zumindest aus den Header-Informationen des Webservers.
Kommentare
Ansicht der Kommentare:
(Linear | Verschachtelt)
stufe 1:
im ersten schritt ersetzt das script große Z gegen das %-Zeichen. dadurch wird er für das "unescape" valide.
stufe 2:
das unescape fördert viele codeschnipsel-variablen und einen in eine cookie-prüfroutine eigebetteten aufruf zu tage, der die variablen wild zusammenwürfelt und durch eine einfache byteweise entschlüsselungsroutine jagt.
stufe 3:
schließlich ergibt sich das finale javascript, dass über diverse cookie-funktionen ein popup mit der uri "hxxp://fbcmfir.com/ld/dxtrbc/" öffnet.
diese seite versucht dann vermutlich, diverse browser-exploits nachzuladen - jedenfalls findet sich dazu einiges im netz.
im ersten schritt ersetzt das script große Z gegen das %-Zeichen. dadurch wird er für das "unescape" valide.
stufe 2:
das unescape fördert viele codeschnipsel-variablen und einen in eine cookie-prüfroutine eigebetteten aufruf zu tage, der die variablen wild zusammenwürfelt und durch eine einfache byteweise entschlüsselungsroutine jagt.
stufe 3:
schließlich ergibt sich das finale javascript, dass über diverse cookie-funktionen ein popup mit der uri "hxxp://fbcmfir.com/ld/dxtrbc/" öffnet.
diese seite versucht dann vermutlich, diverse browser-exploits nachzuladen - jedenfalls findet sich dazu einiges im netz.
Also Schritt 1 & 2 hatte ich auch hinbekommen, allerdings förderte es bei mir keinen echten JS-Code zu Tage. Wo liegt denn der Trick?
Vielen Dank für die Aufklärung!
Vielen Dank für die Aufklärung!
der aus den variablen ca bis ce zusammengesetzte funktion dcs(), die cu (und da bis de) entschlüsselt, fehlt eigentlich der rückgabewert ("return st;"). ob das ein fehler im code ist oder dcs() durch den verworrenen aufruf quasi als prozedur funktioniert, vermag ich nicht zu sagen (bin nicht der super-js-crack).
in meinem test habe ich zur entschlüsselung von cu die funktion dcs() einfach ergänzt, um dcs(cu,14) (das finale script) zu erhalten.
möglicherweise ist das script ja auch defekt.
in meinem test habe ich zur entschlüsselung von cu die funktion dcs() einfach ergänzt, um dcs(cu,14) (das finale script) zu erhalten.
möglicherweise ist das script ja auch defekt.
Alles klaro, jetzt kapier ichs langsam 
Dass der ursprüngliche Code defekt ist, hatte ich auch schon vermutet. Zumindest hatte ich mehrfach vergeblich versucht, via alert() irgendwie die "echte" Funktion wenigstens mal zu sehen
Dass der ursprüngliche Code defekt ist, hatte ich auch schon vermutet. Zumindest hatte ich mehrfach vergeblich versucht, via alert() irgendwie die "echte" Funktion wenigstens mal zu sehen
powered by
Suche
Kommentare
06.09.10 10:32
NoSQL Testing: Cassandra, Memcached, Redis u [...]
19.08.10 08:36
Mit Time Machine unter Snow Leopard auf Netz [...]
04.08.10 13:13
ha!
da sucht man sich für seinen macbook pr [...]
31.07.10 08:33
Hallo ihr, der Trick bei meinem LED Cinema D [...]
28.07.10 10:04
Super Skript! Klasse!
Vielen Dank!
23.07.10 15:03
Hat mich schon zur WM genervt. Unter #wm gab [...]
22.07.10 20:50
Kennst Du Flagfox? Damit kann man sich den S [...]
22.07.10 16:51
Hetzner hat gute Rootserver Angebote, auch f [...]
20.07.10 15:33
Netter Link. Aber doch, Memcached ist imho s [...]
Gestern bekam ich einen lustigen Hinweis via Google Alerts, nämlich dass admin-blog.com bei safeweb.norton.com als bösartige Seite gelistet ist. Dort wird ein offenbar schadhaftes JavaScript namens "HTTP Malicious Javascript Encoder 5" gefunden, welches
Aufgenommen: Jan 19, 12:23