Hi,
schaut doch mal bitte mein Posting im og. Brett:
Kryptischer Code bei Email - JavaScript?
Vielleicht weiß der eine oder andere was darüber.
Gruß
J.
Krimineller Spammer
Hallo José,
ich setz meine Antwort nicht ins Javascript-Brett sondern hier hin, da mich der Sicherheitsaspekt interessiert.
Diese Mail habe ich inzwischen neun mal erhalten, von immer anderen Absendern. Eine Reihe von Indizien weist darauf hin, dass es sich hier um eine Fortsetzung des „Geschlechtsnocken-Angriffs“
http://www.heise.de/newsticker/data/jo-26.11.01-000/ von vor zwei Wochen handelt. Der wesentliche Unterschied ist, dass im ersten Angriff der Javascript-Code noch unverschlüsselt war.
Der jetzige, verschlüsselte Code scheint aber im wesentlichen den gleichen Zweck zu haben: Dem Empfänger einen 0190er Dialer unterzujubeln. Es liegt hier also eine offenkundige Betrugsabsicht vor.
Kriminell handelt der Absender auch insoweit, als er für seinen Angriff zumindest teilweise per Nimda gehackte Mailserver gehijackt und benutzt hat. Ob er den Rechnern den Nimda selbst untergeschoben oder gezielt nach infizierten Rechnern gesucht hat, weiss ich nicht.
Ich hab auf meinen Mailservern den Transport von Javascript generell unterbunden. Wer sich vor solchem Scheiss schützen will, tut gut daran, (sofern sein Mailprogramm solche Regeln zulässt) sämtliche Mails mit der Zeichenfolge (7bit MIME encoded) bzw. bereits auf dem Server zu killen.
[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]
Hi,
ich setz meine Antwort nicht ins Javascript-Brett sondern hier
hin, da mich der Sicherheitsaspekt interessiert.
Ja, das war auch mein Anliegen, nur habe ich vermutet, daß sich dort mehr Kenner der Materie finden.
Eine Reihe von Indizien weist darauf hin,
dass es sich hier um eine Fortsetzung des
„Geschlechtsnocken-Angriffs“
http://www.heise.de/newsticker/data/jo-26.11.01-000/ von vor
zwei Wochen handelt. Der wesentliche Unterschied ist, dass im
ersten Angriff der Javascript-Code noch unverschlüsselt war.
Aha!
Der jetzige, verschlüsselte Code scheint aber im wesentlichen
den gleichen Zweck zu haben: Dem Empfänger einen 0190er Dialer
unterzujubeln. Es liegt hier also eine offenkundige
Betrugsabsicht vor.
Ist der Code verschlüsselt? Die Antwort im JS-Brett spricht davon, daß er offen liegt, aber alle Variablen unlesbar umbenannt wurden.
Kriminell handelt der Absender auch insoweit, als er für
seinen Angriff zumindest teilweise per Nimda gehackte
Mailserver gehijackt und benutzt hat. Ob er den Rechnern den
Nimda selbst untergeschoben oder gezielt nach infizierten
Rechnern gesucht hat, weiss ich nicht.
Scheint ja richtig Kraft dahinter zu stecken.
Wer sich vor solchem Scheiss schützen
will, tut gut daran, (sofern sein Mailprogramm solche Regeln
zulässt) sämtliche Mails mit der Zeichenfolge (7bit MIME encoded) bzw.
bereits auf dem
Server zu killen.
Werde ich tun - Danke sehr!
Gruß
J.
Der jetzige, verschlüsselte Code scheint aber im wesentlichen
den gleichen Zweck zu haben: Dem Empfänger einen 0190er Dialer
unterzujubeln. Es liegt hier also eine offenkundige
Betrugsabsicht vor.Ist der Code verschlüsselt? Die Antwort im JS-Brett spricht
davon, daß er offen liegt, aber alle Variablen unlesbar
umbenannt wurden.
Nun, verschlüsselt ist er im Grunde schon. Zum einen ist durch die Variablennamen und durch die Darstellung der Zeichenketten in gemischt dezimaler, hexadezimaler und oktaler Form der Code zunächst möglichst unlesbar gemacht.
Aber mehrere Funktionen wie die folgende (von mir lesbar gemacht)
for(VAR2=VAR1.length-1;VAR2\>=0;VAR2--)
{if (VAR1.charCodeAt(VAR2)-VAR2%9-35
dienen dazu, verschlüsselte Zeichenketten zu entschlüsseln.
Natürlich ist dies nur eine schwache Verschlüsselung, aber hinreichend für den Zweck, die Aufgaben des Programms für die meisten Empfänger zu tarnen.
Update
Neue Infos zum „Geschlechtsnocken-Angriff“ unter
http://www.heise.de/newsticker/data/jo-12.12.01-000/