Twitter Timeline
- RT @cyman_de: FreeNAS updates to v8.0.3 and is rid of some rubbish and small enough to fit on most usb sticks. netatalk works now with lion1 month ago
- Allen Lesern einen guten Rutsch und ein ein frohes neues Jahr. Unser guter Vorsatz: Mehr bloggen!1 month ago
- RT @slith76: Vim: revisited http://t.co/GIdKrKMz1 month ago
- So sieht es aus, wenn Kunden einen Newsletter rausschicken :) #mailgraph http://t.co/ULg29jon2 months ago
- FreeBSD Buchverlosung: http://t.co/a9t1MZO02 months ago
- RT @jcfrick: Die Cloud hat halt auch Nachteile ;-) http://t.co/vxqdcl6G2 months ago
- Neu im Blog: US-Proxy für YouTube und Co. bei Server4You - das war wohl nix http://t.co/UWow2jzp2 months ago
- Neu im Blog: Iphone 4S gestohlen, Telekom hilft nicht http://t.co/r57REuwI2 months ago
- Shortcuts zur iPhone Prefpane ... nicht ganz so gut wie mit Jailbreak, aber immerhin. http://t.co/TFyZypE13 months ago
- RT @Linux: Fedora 16 "Verne" released! http://t.co/vX7A5Gar #Fedora #Linux3 months ago
- Neu im Blog: Schutz bei (D)DOS Angriffen mit Iptables http://t.co/vDeOdt2w3 months ago
- RT @nbbilliger: Mozilla Firefox 8.0 erschienen http://t.co/Ecn6h1Mp3 months ago
- Fazit nach 2 Tagen iPhone4s: Nett, aber kein Muss, wenn man da 4er hat. Siri ist recht nutzlos atm, Kamera besser. Akku 1:1 bisher. ^rk3 months ago
- Das Nginx-Modul "nginx-sticky-module" erfolgeich getestet und im Einsatz. Blogpost folgt bei Gelegenheit :) http://t.co/G1xBhuWX3 months ago
- Mehrere Kollegen wurden für das Blog begeistert, mal sehen ob gute Artikel folgen ^^ (rk)3 months ago
- Willkommen in der Encoding-Hell: U+C4?U+E4, U+D6?U+F6, U+DC?U+FC, U+DF, U+E4, U+F6, U+FC #german #umlauts3 months ago
- Neu im Blog: Top of the Tops http://t.co/DPx5TreY3 months ago
- Danke, gerne :-) RT @admn_blog_com: Neu im Blog: Acer EasyStore H341 als NAS für SMB und AFP mit Ubuntu Server http://t.co/BGneIG5Q3 months ago
- Neu im Blog: Acer EasyStore H341 als NAS für SMB und AFP mit Ubuntu Server http://t.co/BGneIG5Q3 months ago
- RT @Linux: Ubuntu 11.10 "Oneiric Ocelot" released! #Ubuntu #Linux4 months ago
- Info: Der calendarserver unter Debian Lenny ist inkompatibel mit iOS5. Unter Squeeze hingegen keine Probleme.4 months ago
- Das sind schon ein paar Cores ;-) http://lockerz.com/s/1152337947 months ago
- Nettes Nagios-Monitoring-Tool für das iPhone: NagiMon. Hat allerdings Probleme mit Leerzeichen als Services. http://lockerz.com/s/1131691968 months ago
- JavaScript PC-Emu bootet Linux: http://bit.ly/iygoXG9 months ago
- RT @boeserseo: Mit die beste "How To" Absicherung für Linux Server die ich je gesehen habe! #NSA -> http://klick.es/2z9 months ago
< memcached im Einsatz mit MySql und PHP | Endlich Patch für web'n'walk Manager - mwconn dennoch gute Alternative >
Thursday, 25. December 2008
Seltsames JavaScript in Homepage eingebunden - Sinn und Ursprung unbekannt
Ein Bekannter von mir hatte unlängst auf seinem Windows-PC einen Virus- bzw. Trojaner, der dort eine Weile sein Unwesen trieb. Um welchen Störenfried es sich dabei genau gehandelt hat, weiss ich leider nicht. Nachdem der Schadcode von seinem Rechner entfernt war, fiel ihm allerdings auf, dass sich auf seiner Website etwas verändert hat. Und zwar wurde dort schädliches JavaScript eingefügt. Zur Betrachtung im Textformat habe ich das Ganze hier hochgeladen.
Meine Analyse ergab allerdings nicht wirklich ein brauchbares Ergebnis - auf jeden Fall wird irgendwelches wirr kodiertes JS aus dem initialen String etwas verändert und anschließend via eval() ausgeführt. Was der Code aber genau macht, habe ich leider nicht herausfinden können. Vielleicht hat das ein Leser hier eine zündende Idee?
Ebenso unklar bleibt, wie der Code denn nun in das Index-Dokument seiner Website kam, die bei einem beliebigen ISP gelagert ist. Sollte der Trojaner tatsächlich das FTP-Programm, Dreamweaver oder gar Eclipse bemüht haben, um den Code auf die Seite hochzuladen? Es kann natürlich auch sein, dass der lokale Virus und das mutmaßlich schädliche JS auf dem Server des Providers in keinem Zusammenhang stehen. Im schlimmsten Fall ist gar der komplette Server beim ISP kompromittiert. Auf dem Webserver des Providers scheint aber wenigstens Linux mit Apache und PHP 4.4.9 zu laufen - das ergibt sich zumindest aus den Header-Informationen des Webservers.
Meine Analyse ergab allerdings nicht wirklich ein brauchbares Ergebnis - auf jeden Fall wird irgendwelches wirr kodiertes JS aus dem initialen String etwas verändert und anschließend via eval() ausgeführt. Was der Code aber genau macht, habe ich leider nicht herausfinden können. Vielleicht hat das ein Leser hier eine zündende Idee?
Ebenso unklar bleibt, wie der Code denn nun in das Index-Dokument seiner Website kam, die bei einem beliebigen ISP gelagert ist. Sollte der Trojaner tatsächlich das FTP-Programm, Dreamweaver oder gar Eclipse bemüht haben, um den Code auf die Seite hochzuladen? Es kann natürlich auch sein, dass der lokale Virus und das mutmaßlich schädliche JS auf dem Server des Providers in keinem Zusammenhang stehen. Im schlimmsten Fall ist gar der komplette Server beim ISP kompromittiert. Auf dem Webserver des Providers scheint aber wenigstens Linux mit Apache und PHP 4.4.9 zu laufen - das ergibt sich zumindest aus den Header-Informationen des Webservers.
Kommentare
Ansicht der Kommentare:
(Linear | Verschachtelt)
stufe 1:
im ersten schritt ersetzt das script große Z gegen das %-Zeichen. dadurch wird er für das "unescape" valide.
stufe 2:
das unescape fördert viele codeschnipsel-variablen und einen in eine cookie-prüfroutine eigebetteten aufruf zu tage, der die variablen wild zusammenwürfelt und durch eine einfache byteweise entschlüsselungsroutine jagt.
stufe 3:
schließlich ergibt sich das finale javascript, dass über diverse cookie-funktionen ein popup mit der uri "hxxp://fbcmfir.com/ld/dxtrbc/" öffnet.
diese seite versucht dann vermutlich, diverse browser-exploits nachzuladen - jedenfalls findet sich dazu einiges im netz.
im ersten schritt ersetzt das script große Z gegen das %-Zeichen. dadurch wird er für das "unescape" valide.
stufe 2:
das unescape fördert viele codeschnipsel-variablen und einen in eine cookie-prüfroutine eigebetteten aufruf zu tage, der die variablen wild zusammenwürfelt und durch eine einfache byteweise entschlüsselungsroutine jagt.
stufe 3:
schließlich ergibt sich das finale javascript, dass über diverse cookie-funktionen ein popup mit der uri "hxxp://fbcmfir.com/ld/dxtrbc/" öffnet.
diese seite versucht dann vermutlich, diverse browser-exploits nachzuladen - jedenfalls findet sich dazu einiges im netz.
Also Schritt 1 & 2 hatte ich auch hinbekommen, allerdings förderte es bei mir keinen echten JS-Code zu Tage. Wo liegt denn der Trick?
Vielen Dank für die Aufklärung!
Vielen Dank für die Aufklärung!
der aus den variablen ca bis ce zusammengesetzte funktion dcs(), die cu (und da bis de) entschlüsselt, fehlt eigentlich der rückgabewert ("return st;"). ob das ein fehler im code ist oder dcs() durch den verworrenen aufruf quasi als prozedur funktioniert, vermag ich nicht zu sagen (bin nicht der super-js-crack).
in meinem test habe ich zur entschlüsselung von cu die funktion dcs() einfach ergänzt, um dcs(cu,14) (das finale script) zu erhalten.
möglicherweise ist das script ja auch defekt.
in meinem test habe ich zur entschlüsselung von cu die funktion dcs() einfach ergänzt, um dcs(cu,14) (das finale script) zu erhalten.
möglicherweise ist das script ja auch defekt.
Alles klaro, jetzt kapier ichs langsam 
Dass der ursprüngliche Code defekt ist, hatte ich auch schon vermutet. Zumindest hatte ich mehrfach vergeblich versucht, via alert() irgendwie die "echte" Funktion wenigstens mal zu sehen
Dass der ursprüngliche Code defekt ist, hatte ich auch schon vermutet. Zumindest hatte ich mehrfach vergeblich versucht, via alert() irgendwie die "echte" Funktion wenigstens mal zu sehen
powered by
Suche
Kommentare
04.01.12 20:34
Hallo Freunde,
Da ich genau das gleiche Pr [...]
12.12.11 02:46
Hi, ich habe seit einem halben Jahr das Acer [...]
07.12.11 10:03
Ich bin gestern auf Ultrasurf (http://ultras [...]
29.11.11 17:24
Versuchs mal mit Proxys von hidemyass.com - [...]
24.11.11 09:13
Habe den Server nun wieder gekündigt. War wo [...]
16.11.11 19:13
In der USA sind leider manchmal auch ein paa [...]
16.11.11 17:27
Nette Sache, war der Speed in Ordnung? Der P [...]
16.11.11 17:24
Ich habe für den Zweck ein SSH-basierten Pro [...]
16.11.11 17:04
Ja, außerdem sollte es doch dann mit Tinypro [...]
16.11.11 17:03
In der squid.conf den Parameter
forwarded [...]
Gestern bekam ich einen lustigen Hinweis via Google Alerts, nämlich dass admin-blog.com bei safeweb.norton.com als bösartige Seite gelistet ist. Dort wird ein offenbar schadhaftes JavaScript namens "HTTP Malicious Javascript Encoder 5" gefunden, welches
Aufgenommen: Jan 19, 12:23