Okay liebe Leute, ich hab kein wirkliches Problem aber nen Interessanten Schnipsel code auf Facebook gefunden, gleich mal Javascript deaktiviert und alles in einer Sandbox durchgespielt. Jetzt hänge ich an einer Stelle, an der ich nicht weiterkomme.

Ich schildere mal das Szenario, vielleicht gibt es jemanden, der sich dafür Interessiert und mir weiterhelfen möchte.

VORSICHT: Folgende Links könnten potentiell gefährlich sein und wurden mit rechteckigen Klammern entschärft.

Ich erhielt heute eine Nachricht über Facebook die nur folgenden Link enthielt:

hxxp://www[punkt]weread.in.th/wp-content/uploads/img[punkt]php?l=IMG87257.JPG

Mit deaktiviertem Javascript und einer kurzen Skript Analyse steckt da folgender code dahinter:

Code: Alles auswählenAufklappen

ATTFilter

<html><head></head><body><script type="text/javascript">document.location.replace("http:\/\/www.weread.in.th\/wp-content\/uploads\/img.php?l=IMG87257.JPG");</script><script type="text/javascript">setTimeout("(new Image()).src=\"\\\/laudit.php?r=JS&u=http\\u00253A\\u00252F\\u00252Fwww.weread.in.th\\u00252Fwp-content\\u00252Fuploads\\u00252Fimg.php\\u00253Fl\\u00253DIMG87257.JPG\";",5000);</script></body></html>
         

Ein Schelm, der böses dabei denkt, aber da will doch jemand was nachladen auf meinen PC oder?
Zusätzlich hab ich noch eine *.jpg.scr Datei gefunden die auf dem oben angegeben host liegt:

hxxp://www.weread[punkt]in.th/wp-content/uploads/IMG863789538[punkt]JPG.scr

Was tut dieser Skript? Die jpg.scr Datei liefert mir in der Sandbox die Ausgabe: "Modifed by SklavenTrieb and Helge, do not fuck with us!

YOU GOT OWNED!"

Aber war das alles?
Liebe Grüße

Dschoni

Also die Antwort war nicht die die ich mir erhofft hatte.
Ich bin mir sicher, dass ich keinen Virus oder Trojaner eingefangen habe, weil ich den ganzen Vorgang in einer Sandbox (abgeschlossenen virtuellen Maschine) durchgeführt habe. Folglich brauche ich mein Produktivsystem auch nicht zu scannen, weil des damit gar nix zu tun hat. Ich hatte gehofft, jemand kann mir einen Tipp geben, wie man den *.scr code weiter entschlüsselt. Aber dafür bin ich vielleicht hier falsch...Trotzdem vielen Dank dir.

lustig, wenn man sich die datei im editor ansieht:
Modifed by SklavenTrieb and Helge, do not fuck with us!

YOU GOT OWNED!
also entweder hier wurde mal malware verteilt und einer hatts gelöscht, oder ich verstehe den sinn nicht

Ja, Freunde von mir haben berichtet, dass diese Datei beim ausführen nachrichten per FB weiterschickt, allerdings konnte ich (außer erwähnter nachricht) keinen ausführbaren code finden....
Noch ne Idee?

das sieht mir aber eig nicht nach ner ausführbaren datei aus, sondern nach ner textdatei

die img.php?
funktioniert bei mir schon gar nicht, ich hab nur die eine datei genommen die im upload ornder zu finden ist.
da ist nur eine datei vom 12.10 drinnen, 4 kb und mit dem von mir zitiertem text

hmm, hatte der vielleicht ne Selbstzerstörungsfunktion....muss aber ein fieses Teil gewesen sein, haben sich viele eingefangen. Auch hier im Board...

aber nicht alle von der url.
mal an den hoster ne abuse mail schreiben damit die domain offline genommen wird, aber mit domain inhabern in Thailand habe ich keine guten erfahrungen gemacht bisher, aber probieren kann man es.

Durchsuch hier das Board mal nach Facebook trojaner, img.scr undsoweiter, scheint von mehreren Seiten zu kommen.

ja das wissen wir selbst, wir löschen sie ja die ganze zeit :-)
nur ist bei der von dir genannten url im moment keine facebook malware mehr, aber die url wurde gehackt denke ich, deswegen werde ich trotzdem schauen dass man sie abgeschaltet bekommt.
hast du ne spezielle seite wo der von dir genannte code eingefügt wurde oder hast du das von facebook, evtl. sende mir mal weitere infos wie herkunft des codes mit link als private nachicht.

So, hab den Quelltext gefunden, werde ihn aus Sicherheitsgründen nicht hier auf dem Board posten, aber wer ihn haben möchte, gern per PM melden.
Mittlerweile schlagen doch schon 4 Scanner an und melden

McAfee-GW-Edition 2010.1D 2011.10.21 Heuristic.LooksLike.Win32.Suspicious.J!87

SUPERAntiSpyware 4.40.0.1006 2011.10.21 Trojan.Agent/Gen-Injector

Symantec 20111.2.0.82 2011.10.21 Suspicious.Cloud.5


VIPRE 10828 2011.10.21 Trojan.Win32.Generic.pak!cobra

Grüße Dschoni

ich denke das ist ne neue datei.
inzwischen sollten mehr scanner anschlagen, url hab ich auch eingesendet, e-mail des besitzers funktioniert nicht, hoster ist angeschrieben, mal sehen :-)

hxxp://www.fionagh-bennet-music.co.uk/swf/img.php?l=IMG077306.JPG

Da ham wir noch einen.
Ist das selbe File, wie schon im vorherigen Post. 88 kb. Ausführbar. Code nicht geändert....Da muss man doch was tun können?

Hat da jemand schon ein Removal Tool? Wäre glaub für ne größere Gruppe interessant.

nen tool gibts da nicht, da es nicht immer die selbe malware ist.
seite wurde aber gespert, das abuse team hat sehr schnell reagiert.
malware hab ich mir vorher noch gehohlt und eingesendet.

Hmm...ich glaube schon dass es jedesmal die gleiche malware ist. Hab dieselbe Datei hinter den Links gefunden. Mehrmals. Also zumindest sagt mein Bitweiser Dateivergleich dass die Dateien identisch sind