Hallo,

ich habe ein Problem mit einem Virus/Wurm o.ä.:

Wenn man z.B.
h**p://*ww.dobrodeya .com

aufruft,ist die Website infiziert

Über dem Body steht script..... und dann die ausgeführte php-Datei.

h**p://shijone. com/public_html/1.php

Das Ding ist verschlüsseltes Javascript.

(beginnt mit

try(if(xUV='*' throw ner TypeError('%'

usw. und ganz viel verschlüsselte Zahlenkolonnen hinterher.

Das Ding hat sich irgendwie auf meinem Rechner eingenistet, dann heute morgen wollte ich rebooten, weil viele Programme nicht mehr starteten und beim Reboot hing der Rechner nach dem XP-Screen, Maus erscheint und es geht nicht mehr weiter.

Ich habe das heute Vormittag noch unter einer gesicherten Umgebung gestestet, was passiert, wenn ich die die URL im Browser aufrufe.

Es wird sofort der Task
AcroRd32.exe /o /eo /l

gestartet und der Computer rödelt.

Wird da eine Sicherheitslücke im Adobe Reader ausgenutzt?

Vor allem, warum startet der Rechner nicht mehr? Nach was muss ich suchen? Wie heißt das verdammte Ding überhaupt?

Herrje, zum Glück am Samstag das letzte Backup gezogen...


Vielen Dank für kleine Tipps!!!

Das sieht stark nach einem PDF Exploit aus. Ob und was durch dieses Exploit versucht wird auf deinen Rechner zu laden und was das "geladene" anrichtet, kann ich dir nicht sagen.

Aber wenn du noch ein Backup von Samstag hast, kannst du das ja zurueckspielen.

Falls du noch von der derzeitigen Installation noch Daten sichern musst, trenne den REchner vom Netz, starte ihn neu, schau, ob du den Taskmanager starten kannst und starte den explorer als neuen Task. Funktioniert der abgesicherte Modus noch?

Danke.

Das war ja genau das Problem. Im abgesicherten Modus ist der auch nicht mehr hochgefahren und eine Reparaturinstallation von Windows brachte auch nix.

Eine Reparaturinstallation ist in den meisten Faellen bei Malwarebefall sinnlos. Da du ein Backup(image?) von Samstag besitzt, spiel das wieder ein. Ansonsten kannst du den Rechner via livecd (BartPe/Linux) starten um wichtige Dinge zu speichern.

Ist hier was oberfaul?

Die Seite ist komplett in russisch und von einem Zentrum für Literatur in Saratow namens Dobrodeya.

Da findet man nicht mal ein PDF.

Deine Buchstaben- / Zahlenkolonnen sind ein Color-Array! (farbbibliothek ist deutsch, von deutscher Webseite geklaut)

Dobrij Djen heisst übrigens "Guten Tag", Dobrodeya ist dann vermutlich ein Synonym dafür.

Bei shjone.com/public_html/1.php kommt übrigens HTML 404.

Viel Wind um nichts.

Zitat:

Ist hier was oberfaul?

Die Seite ist komplett in russisch und von einem Zentrum für Literatur in Saratow namens Dobrodeya.

Da findet man nicht mal ein PDF.

Deine Buchstaben- / Zahlenkolonnen sind ein Color-Array! (farbbibliothek ist deutsch, von deutscher Webseite geklaut)

Dobrij Djen heisst übrigens "Guten Tag", Dobrodeya ist dann vermutlich ein Synonym dafür.

Bei shjone.com/public_html/1.php kommt übrigens HTML 404.

Viel Wind um nichts.

Sehr viel

Ich hab das Script (man muss auch mal richtig schauen), mal decodieren lassen...
Und da ist so einiges Oberfaul, warum sollten Avira und Kaspersky sonst nicht bei dem encodierten Javascript aufschreien.

Das Script versuch u.A. mehrere ActiveX-Objekte zu laden und dann die möglichen Sicherheitslücken auszunutzen, in dem es extra Scripte oder Objekte nachlädt...

Weiter bin ich auch noch nicht...

Zitat:

Da findet man nicht mal ein PDF.

Was hat das denn damit zutun? Bei dem einen wird eine AcrobatReader-Lücke genutzt, bei dem nächsten wieder was anderes. Da muss nicht eine PDF-Datei verlinkt oder sonstiges sein.

Zu der Seite an sich:
Was mir an der Seite supekt ist, dass so gut wie alles auf Russisch ist, jedoch der Quelltext komplett in Deutsch dort steht...

Zitat:

Bei shjone.com/public_html/1.php kommt übrigens HTML 404.

Ist mir neu
Öffne es mal mit dem Editor, allerdings musst du noch ein http://www. vor die URL setzen, sonst wirds nichts.
Das Ergebnis ist ein tolles Javascript, was eine rießige Zeichenkette beinhaltet (ca 5900 Zeichen), welche verschlüsselt ist und anschließend decodiert wird. Das ist dann das eigentliche Schadscript.

Gruß
Handball10

@handball10:

vielen Dank für die kompetente Antwort.

@WinUpGro:

Gratulation zum verseuchten Rechner.

Die russische Seite wird bei STRATO gehostet.

Da kommen ganz selbstverständlich Viren und Trojaner her, besonders wenn sogar angeblich Kaspersky darauf anschlägt.

Ich weiss nicht was Frickelfox meint, IE8 meint -> HTTP 404 und nicht ein Zeichen verschlüsseltes Javascript.

Selbst bei gleichzeitig geöffnetem Acrobat Professional passiert genau NIX.

Nur für Euch, die Webseite als PDF

Ich weiss nicht was das soll.

Malwarebytes' Anti-Malware 1.41
Datenbank Version: 2969
Windows 6.0.6002 Service Pack 2

16.10.2009 03:47:13
mbam-log-2009-10-16 (03-47-13).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 545236
Laufzeit: 27 minute(s), 11 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Zitat:

Ich weiss nicht was Frickelfox meint, IE8 meint -> HTTP 404 und nicht ein Zeichen verschlüsseltes Javascript.

Es geht um den Editor (kann man mit einem beliebigen Texteditor seiner Wahl machen) und selbst da bekomme ich HTML und Javascript

Wenn du auch mal wissen willst, wie das Script aussieht (man erkennt aber nicht viel - es ist verschlüsselt ), gehe so vor:

• Öffne den Editor
• Gehe auf "Öffnen"
• tippe in das Feld "Öffnen" die tolle URL ein. Wichtig: da muss ein http://www. davor.
• und schon hast du ein tolles verschlüsseltes Javascript - Herzlichen Glückwunsch
• Wenn bei dir jedoch wieder so was ähnlichens kommen sollte, wie "Der Dateiname ist ungültig" oder "ERROR 404 - ..." kann ich dir leider auch nicht mehr helfen...

Nebenbei:
Was auch noch sehr interessant ist, ist, dass das Javascript seine Erscheinungsform ändert. Aus:

PHP-Code:

try{if(lkyD='a')throw new Error('25');}catch(fni7V){lkyD=unescape('%'+fni7V.message);}

var cbk = VERSCHLÜSSELTE STRING

eval(unescape(cbk.replace(/[zMLl]/g,lkyD))); 


wird beim nächsten Öffnen:

PHP-Code:

try{if(eo5p='a')throw new Error('25');}catch(Nd70){eo5p=unescape('%'+Nd70.message);}

var  Xh4= VERSCHLÜSSELTE STRING

eval(unescape(Xh4.replace(/[CFr]/g,eo5p))); 


usw...
----------------------------------------------------------------------

Zitat:

Die russische Seite wird bei STRATO gehostet.

Da kommen ganz selbstverständlich Viren und Trojaner her, besonders wenn sogar angeblich Kaspersky darauf anschlägt.

Von wo kommen die ganzen Viren und Trojaner?
Von STRATO oder den russischen Seiten

Zitat:

besonders wenn sogar angeblich Kaspersky darauf anschlägt.

Bei Kaspersky ist es bei mir nur die Heuristik - AntiVir hat ne genaue Bezeichnung
----------------------------------------------------------------------

Zitat:

Dobrij Djen heisst übrigens "Guten Tag", Dobrodeya ist dann vermutlich ein Synonym dafür.

Wie ich aus sicherer Quelle erfahren hab, heißt "Dobrodeya" "guten Abend"
----------------------------------------------------------------------
Gruß
Handball10

Virustotal. MD5: 5d0746b5bcdf3e18d79c0c269dbb5f8d Bloodhound.Exploit.225 Heuristic.LooksLike.JS.Suspicious.A TrojanDownloader:JS/SetSlice

http://virscan.org/report/b78fac7649...d42970d18.html

http://virusscan.jotti.org/de/scanre...9f080ecab63060

Ui

Nicht wundern, diese Scripte werden für jeden Aufruf neu erzeugt, damit wechseln auch die zufällig gewählten Bezeichner. Und wenn das Script überhaupt nicht kommt, dann kann es entweder daran liegen, dass in der Anfrage beim Server etwas steht, was ihn vermuten lässt, dass es sich auf dem Computer nicht lohnt oder dass man es mehrfach versucht. Viele Exploitpakete führen in einer Datenbank über jeden Aufruf Buch und liefern den Exploit nur beim Erstaufruf aus.