|
Was ist das genau? Javascript in einer Website, öffnet Acrobat Reader Hallo, ich habe ein Problem mit einem Virus/Wurm o.ä.: Wenn man z.B. h**p://*ww.dobrodeya .com aufruft,ist die Website infiziert Über dem Body steht script..... und dann die ausgeführte php-Datei. h**p://shijone. com/public_html/1.php Das Ding ist verschlüsseltes Javascript. (beginnt mit try(if(xUV='*' throw ner TypeError('%' usw. und ganz viel verschlüsselte Zahlenkolonnen hinterher. Das Ding hat sich irgendwie auf meinem Rechner eingenistet, dann heute morgen wollte ich rebooten, weil viele Programme nicht mehr starteten und beim Reboot hing der Rechner nach dem XP-Screen, Maus erscheint und es geht nicht mehr weiter. Ich habe das heute Vormittag noch unter einer gesicherten Umgebung gestestet, was passiert, wenn ich die die URL im Browser aufrufe. Es wird sofort der Task AcroRd32.exe /o /eo /l gestartet und der Computer rödelt. Wird da eine Sicherheitslücke im Adobe Reader ausgenutzt? Vor allem, warum startet der Rechner nicht mehr? Nach was muss ich suchen? Wie heißt das verdammte Ding überhaupt? Herrje, zum Glück am Samstag das letzte Backup gezogen... Vielen Dank für kleine Tipps!!! |
Das sieht stark nach einem PDF Exploit aus. Ob und was durch dieses Exploit versucht wird auf deinen Rechner zu laden und was das "geladene" anrichtet, kann ich dir nicht sagen. Aber wenn du noch ein Backup von Samstag hast, kannst du das ja zurueckspielen. Falls du noch von der derzeitigen Installation noch Daten sichern musst, trenne den REchner vom Netz, starte ihn neu, schau, ob du den Taskmanager starten kannst und starte den explorer als neuen Task. Funktioniert der abgesicherte Modus noch? |
Danke. Das war ja genau das Problem. Im abgesicherten Modus ist der auch nicht mehr hochgefahren und eine Reparaturinstallation von Windows brachte auch nix. |
Eine Reparaturinstallation ist in den meisten Faellen bei Malwarebefall sinnlos. Da du ein Backup(image?) von Samstag besitzt, spiel das wieder ein. Ansonsten kannst du den Rechner via livecd (BartPe/Linux) starten um wichtige Dinge zu speichern. |
Ist hier was oberfaul? Die Seite ist komplett in russisch und von einem Zentrum für Literatur in Saratow namens Dobrodeya. Da findet man nicht mal ein PDF. Deine Buchstaben- / Zahlenkolonnen sind ein Color-Array! (farbbibliothek ist deutsch, von deutscher Webseite geklaut) Dobrij Djen heisst übrigens "Guten Tag", Dobrodeya ist dann vermutlich ein Synonym dafür. Bei shjone.com/public_html/1.php kommt übrigens HTML 404. Viel Wind um nichts. |
Zitat:
Ich hab das Script (man muss auch mal richtig schauen), mal decodieren lassen... Und da ist so einiges Oberfaul, warum sollten Avira und Kaspersky sonst nicht bei dem encodierten Javascript aufschreien. Das Script versuch u.A. mehrere ActiveX-Objekte zu laden und dann die möglichen Sicherheitslücken auszunutzen, in dem es extra Scripte oder Objekte nachlädt... Weiter bin ich auch noch nicht... Zitat:
Zu der Seite an sich: Was mir an der Seite supekt ist, dass so gut wie alles auf Russisch ist, jedoch der Quelltext komplett in Deutsch dort steht... Zitat:
Öffne es mal mit dem Editor, allerdings musst du noch ein http://www. vor die URL setzen, sonst wirds nichts. Das Ergebnis ist ein tolles Javascript, was eine rießige Zeichenkette beinhaltet (ca 5900 Zeichen), welche verschlüsselt ist und anschließend decodiert wird. Das ist dann das eigentliche Schadscript. Gruß Handball10 |
@handball10: vielen Dank für die kompetente Antwort. @WinUpGro: Gratulation zum verseuchten Rechner. |
Die russische Seite wird bei STRATO gehostet. Da kommen ganz selbstverständlich Viren und Trojaner her, besonders wenn sogar angeblich Kaspersky darauf anschlägt. Ich weiss nicht was Frickelfox meint, IE8 meint -> HTTP 404 und nicht ein Zeichen verschlüsseltes Javascript. Selbst bei gleichzeitig geöffnetem Acrobat Professional passiert genau NIX. Nur für Euch, die Webseite als PDF Ich weiss nicht was das soll. Malwarebytes' Anti-Malware 1.41 Datenbank Version: 2969 Windows 6.0.6002 Service Pack 2 16.10.2009 03:47:13 mbam-log-2009-10-16 (03-47-13).txt Scan-Methode: Vollständiger Scan (C:\|D:\|) Durchsuchte Objekte: 545236 Laufzeit: 27 minute(s), 11 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) |
Zitat:
Wenn du auch mal wissen willst, wie das Script aussieht (man erkennt aber nicht viel - es ist verschlüsselt :blabla:), gehe so vor:
Nebenbei: Was auch noch sehr interessant ist, ist, dass das Javascript seine Erscheinungsform ändert. Aus: PHP-Code: PHP-Code: ---------------------------------------------------------------------- Zitat:
Von STRATO oder den russischen Seiten :uglyhammer: Zitat:
---------------------------------------------------------------------- Zitat:
---------------------------------------------------------------------- Gruß Handball10 |
|
Nicht wundern, diese Scripte werden für jeden Aufruf neu erzeugt, damit wechseln auch die zufällig gewählten Bezeichner. Und wenn das Script überhaupt nicht kommt, dann kann es entweder daran liegen, dass in der Anfrage beim Server etwas steht, was ihn vermuten lässt, dass es sich auf dem Computer nicht lohnt oder dass man es mehrfach versucht. Viele Exploitpakete führen in einer Datenbank über jeden Aufruf Buch und liefern den Exploit nur beim Erstaufruf aus. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 06:33 Uhr. |
Copyright ©2000-2025, Trojaner-Board