Hallo Forumsmitglieder,

seit einiger Zeit habe ich mein Gästebuch beim Anbieter multiguestbook.com gehostet und bin ganz zufrieden.

Gestern ging ich mit dem IE ( aktueller Stand , bin normalerweise FF Nutzer ) auf das Gästebuch und prompt meldet mein Virenprogramm den Virus:

JS/Downloader-AUD

Bei Firefox passiert nichts. Dasselbe bei sämtlichen anderen Gästebüchern, die bei multiguestbook gehostet sind. Beispiel:

http://193828.multiguestbook.com/

Habe den Anbieter schon einmal angeschrieben, bisher aber keine Antwort bekommen. Kann es sein, dass sämtliche Gästebücher eines Anbieters verseucht sind? Und warum passiert nichts im FF? Danke für die Hilfe!!

Hi,

Die versuchen einfach die Funktionsweise des Gästebuchs dadurch zu verschleiern, daß wesentliche Teile erstmal von Javascript entschlüsselt werden müssen. Sind drei verschlüsselte Javascripts, raus kommt:

Code: Alles auswählenAufklappen

ATTFilter

<script>document.writeln('<FORM NAME="GB_o" ACTION="./" METHOD="POST">');</script>
<script>document.writeln('<INPUT TYPE="hidden" NAME="f" VALUE="a">');</script><script>document.writeln('<INPUT TYPE="hidden" NAME="Y" VALUE="a">');</script>
<script>document.writeln('<INPUT TYPE="hidden" NAME="LANG" VALUE="US">');</script>
         

Code: Alles auswählenAufklappen

ATTFilter

<TR valign="top">
      <TD align="right"><FONT FACE="Verdana,Arial,Helvetica" SIZE="2" COLOR="#000000"><LABEL FOR=T1RjMU1qQXhPVE00TWpnME1UZzBOUT09o>Name:</LABEL>&nbsp;&nbsp;</FONT></TD>
      <TD><INPUT type="text" name="T1RjMU1qQXhPVE00TWpnME1UZzBOUT09" id="T1RjMU1qQXhPVE00TWpnME1UZzBOUT09o" size="32" maxlength="30" value="" class="GB_input" title="Name"></TD>
     </TR>
         

Code: Alles auswählenAufklappen

ATTFilter

<INPUT TYPE="hidden" NAME="NTo8PTk1" value="TXpKcGRUUTBhREpoY3pJMVlXVXlOV1JtYkRSVVZsSnlaV3M1UlZOVVVrMWlWRVY0V1d0b1UyTkdiM3BXYlhocVRURktjRmxxU1RWamEzaDBWRzVhYVZZeE9GUldVbkpsYXpsRlUxUlNUV0pVUlhoWmEyaFRZMFp2ZWxadGVHcE5NVXB3V1dwSk5XTnJlSFJVYmxwcFZqRTRWRlpTY21Wck9VVlRWRkpOWWxSRmVGbHJhRk5qUm05NlZtMTRhazB4U25CWmFrazFZMnQ0ZEZSdVdtbFdNVGt6T0RJNFZGWlNjbVZyT1VWVFZGSk5ZbFJGZUZscmFGTmpSbTk2Vm0xNGFrMHhTbkJaYWtrMVkydDRkRlJ1V21sVw=="></FORM>
         

Wer aber solche Verschleierungstaktiken anwendet, ist selber schuld, wenn er den Bösewichtern zugeordnet wird, die solche Techniken normalerweise benutzen. Außerdem ist alleine der Versuch ziemlich lächerlich, schließlich müssen sie den Code zur Entschlüsselung mitliefern, weil das ganze sonst nicht funktionieren würde.

Gruß, Karl

Danke, Karl, für die Antwort! Obwohl mir zum ultimativen Verständnis noch das Know-How fehlt....

Mich hat es total gewundert, da dieses Gästebuch überall empfohlen wird, z.B. bei www.drweb.de

Bis heute keine Rückmeldung vom Anbieter......

Kann es denn sein, dass tausende von Leuten, die sich in die betreffenden Gästebücher eintragen, nicht registrieren, dass sie sich einen Virus herunterladen???

Es ist kein Virus. Es sind einfach wesentliche Teile der Seite verschlüsselt und werden durch Javascript-Code entschlüsselt. Entweder, das dient dazu, es anderen schwieriger zu machen, das Gästebuch zu kopieren (aber nur minimal schwieriger, siehe oben), oder aber es soll es Bots schwieriger machen, Spameinträge zu erzeugen.

Genau diese Technik Inhalte zu verschleiern und erst im Browser durch Javascript entschlüsseln zu lassen, wird oft von Seiten benutzt, die Rechner mit Malware zu infizieren versuchen. Da liegt es in der Sache, daß es leicht zu Fehlalarmen kommen kann. Derartige Fälle habe ich die letzte Zeit mehrfach erlebt. Wenn ein Virenscanner einen solchen Code nicht eindeutig als unschädlich identifiziert, dann wird er eben als böse gemeldet.

Wenn bei vielen Leuten der Scanner nicht anschlägt, dann liegt es entweder daran, daß er sich um solchen Code nicht kümmert, oder aber daß er zum Schluß kommt, daß er harmlos ist. Das hängt davon ab, welcher Scanner eingesetzt wird, unter Umständen auch noch von seiner Konfiguration, bei Antivir zum Beispiel die gewählte Heuristikeinstellung.

super, karl, vielen dank! Nun ist alles ein wenig klarer!