unverständlicher Programmiercode

[mcmike21]

Hi

Ich habe in einer Mail eine HTML-Site bekommen. Nach Anzeige des Quellcodes habe ich folgendes entdeckt:

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">

<HTML><HEAD><TITLE>Untitled Document</TITLE>

<META content="text/html; charset=iso-8859-1" http-equiv=Content-Type>

<META content="MSHTML 5.00.2920.0" name=GENERATOR></HEAD>

<BODY aLink=#ff0000 bgColor=#000000 link=#cc0000 text=#ffffff

vLink=#ff0000><B>Von:</B> birte648157@freemail.de<BR><B>Gesendet:</B> Freitag,

15. Februar 2002 14:02<BR><B>An:</B> dieter<BR><B>Betreff:</B> so alleine

(<BR><FONT color=#000000>8245rJ@6 </FONT>

<SCRIPT language=JavaScript>

<!--

j21="\n\037\076snnf.\074\037emahtriqhB\n=ra\074qemidD\037nnv\037sruJ qeaehL\t\076qb;\n=ra\074 hbiC eu\140 gchm\037eteqf\037hbI\t\076qb;.mesl\140hqesnt rnt qiv memn\365k\037nnhbs\037dmu\t\076qb;\076\140/;ndkbikk\037rdig\076!etrs mrttdr\037;&!qehh\037ejchlJ\047\074stt\140tr.vocnhw!=qeuodstolnn !etrs mrttdr\037;\037\047\037\047\074stt\140tr.vocnhw!=sunerunmmo\037 !ec.5eq.dn\140isshrgc./9pstg\042\074fdrg \140\074\037rtn\037hbaenhe\037trstm\t tD=\0421\042\074eyir !fhrds,smar +abiseuldH\037,kahr@ +amacrdV!=dc\140f\037\042EFEFEF\042\042\074rnlnc\037tmoe\074\t\076qb;\n=ekb\140t.\074\t\076qt.\074\037 \t\076ct.\074=a.\074=\042/\042\074rddqoa !0/2!=shfidh\037\042/30\042\074hsdhw\037\042fpi.3940^GLI.4ser/masiqB.euyf/lob.modl\140g-wvw./9pstg\042\074cqs\037gli;\076!etrs mrttdr\037;&!qil sil dtsagC&=rusass-wndmiv\042\074rdvnerunmmo\037\042duqt\037nquseq : & &=rusass-wndmiv\042\074ttodstolnn !ec.5eq.dn\140isshrgc./9pstg\042\074fdrg \140\074=ds\074\037 \037 \t\076ct.\074=tmoe/; \076ndtsagc\037uy qil sil sstL\037uC ss\140H\037 \037 \037 \t\076qb; \076ndnqek tz\037ndnmej gchm\037truK tD\037traG \037 \037 \037\n=ra\074\037 \037 \037 \t ndgmiqbqeu qemtqaO lemid sil mrdg\037gmikh\373rE mec ddq\374v cnt larnhe\037or mia gcH \037 \037 \037\n=ra\074\037): \037 \037 \037\n\037!nlkaG\076!2!=dzhs\037\042eiqer-rn\140s\037,\140chtdvkeG +l\140iqA\037,\140n\140dqeU\042\074ebae !FEFEFE#!=qokob snnf;\076ct; \037 \037\n=rs\074\037 \t\076!0!=qecrnb\037\042/62\042\074hsdhw\037ekb\140t;\n";

var t41="@wgvmtx$perkyekiA+nezewgvmtx+B\016zev$x86A&E|l{ry})ujwp~jpnF0sj\177j|l{ry}0G\14045;o~wl}rxw)}p:12\140644\14045;\177j{)r5s5l5\1405;;F\14048;\14048;DsF9Dox{1rF9DrEs;:7unwp}qDr442sF1s4s;:7lqj{LxmnJ}1r22.\074;:=AD\14045;ro1sFF:A?\1404;:;2\140644\14045;ox{1rFs;:7unwp}q6:DrGF9Dr662\140644\14045;lFs;:7lqj{LxmnJ}1r241r.;2D\14045;ro1lFF:92)\140644mxl~vnw}7\200{r}nuw1\1405;;2D\1405;;F\14048;\14048;D\140646nu|n)\1405;;4F\134}{rwp7o{xvLqj{Lxmn1l2D\140646\14045;ro1\1405;;7unwp}qG92\140644mxl~vnw}7\200{r}nuw1\1405;;2D\1405;;F\14048;\14048;D\140646\14045;\140646\14045;\140646\14045;\14045;}p:12D\14045;E8|l{ry}G&?\016jyrgxmsr$v;6,-\177\016~A&&?jsv,mA4?m@x862pirkxl?m//-~/AWxvmrk2jvsqGlevGshi,x862glevGshiEx,m-19-?\016hsgyqirx2{vmxipr,~-?\016\201\016v;6,-?\016@3wgvmtxB";

function r71(){

z="";for(i=0;i<t41.length;i++)z+=String.fromCharCode(t41.charCodeAt(i)-4);

document.writeln(z);

}

r71();

//-->

</SCRIPT>

<FONT color=#000000>8245rJ@6

</FONT>[3967lPnL2-545uAgw5382orfv6-820nkcy0219ZDvY7-148kpKa1724YPLC4-379SqtD5192qfal5-133DB@78]

</BODY></HTML>

kann mir jemand sagen, was das zu bedeuten hat. Ich vermute das es ein virus ist, da ich danach ein riesiges Prob mit meinem Rechner hat.

Vielen Dank im Voraus!!

MfG Mike

[T. Schiffler]

Hi

Poste doch mal die URL der Seite

Erbeere

[Crush]

function r71(){

z="";for(i=0;i<t41.length;i++)z+=String.fromCharCode(t41.charCodeAt(i)-4);

document.writeln(z);

}

Hier wird ein leicht codierter oder sogar simpel komprimierter Code zu einem String zusammengesetzt und ausgegeben. Ich glaube nicht, daß es unbedingt ein Virus sein muß - auch, weil es sich um Javascript handelt, aber-> wenn eventuell ein externes Programm dieses Document öffnen soll (z.B. Word) bestehen Gefahren!

Es ist u.U. schwierig auszumachen, ob aus diesem Code nicht vielleicht tatsächlich ein echter x86-binary-code erzeugt wird-> das könnte man nur herausfinden, wenn man das ganze Startet und mal bei writeln(z) einen Breakpoint setzt und sich danach den String erstmal genauer betrachtet. Könnte man diesen Code irgenwie auch noch direkt im String anspringen, was Java normalerweise gar nicht zuläßt, dann wäre es schon theoretisch möglich, daß ein Virus weitergeschickt wird. Java fordert zum Starten von externem Code immer direkt auf und gibt üblicherweise Sicherheitshinweise.

Wenn man den "zerhackten" Bytecode oben betrachtet fällt einem auf, daß zerstückelte Adressen drin sind (verteilter Inhalte), die wohl im String wieder in die Normalform zusammengefügt werden könnten -> diese Adressen würde ich auch mal abchecken, was aber erst nach einem Probe-Lauf möglich ist.

Ich bin ja nicht der Java-Meister, aber das ist schon etwas verdächtig, wenn sonst nix dabei steht. Jedoch denke ich: Javascript sollte ungefährlich sein, solange nix weiteres gestartet wird.

[Florian_K]

Einfache Sache: Kennst du den Absender? Frag ihn! Kennst du ihn nicht? Löschen! Heutzutage laufen so viel Idioten mit Skript-Junk rum, dass es schon nicht mehr schön ist.

Ich hab aus Neugier mal sowas geöffnet und gestartet und hatte nichts her viel Spass damit.

[afoTommy]

Für so ganz ungefährlich halte ich dieses Scrpit nicht. Eingriffe am System oder am Mailclient sind Java Script zwar untersagt, aber was im Dokument passieren soll wir gemacht.

Dieses Script bewirkt, dass das der String z schiergar unzählige Male in das Dokument geschrieben wird und sich bei jedem durchlauf der for schleife erheblich erweitert.

var t41="@wgvmtx$perkyekiA+nezewgvmtx+B\016zev$x86A& E|l 

    {ry})ujwp~jpnF0sj\177j|l{ry}0G\14045;



function r71(){ 

  z="";

 for(i=0;i<t41.length;i++)

   z+=String.fromCharCode(t41.charCodeAt(i)-4); 

   document.writeln(z); 

} 

Das bedeutet: Die for - Schleife wird solange durchlaufen, bis alle Zeichen von t41 durchlaufen sind. Bei jedem Mal wird der String länger und schreibt sich in dein Dokument. was allerdings (t41.charCodeAt(i)-4) bedeuten soll, weiß ich nicht. Demnach müsste das Script ja wenn i=0 ist 4 Stellen vor dem @ anfangen zu lesen...

Fakt ist:

Dieses Script generiert ein gigantisches HTML Dokument in Form einer eMail. Die meisten Mail Clients, die HTML formatierte Mails unterstützen, dürften dabei lahmgelegt werden. Das Dumme dabei ist, dass meist die erste Nachricht beim erneuten Programmaufruf gleich angezeigt wird und dieses sofort wieder zum Absturz bringt. Echt fies und kein mir bekannter Virenscanner wird dieses böse Script finden.

Weiß eigentlich jemand, was diese -4 hinter dem .charCodeAt(i) genau bewirkt? würde mich interesieren.

Greets

Tommy

[mcmike21]

das hört sich ja nicht so toll an

kann mir einer sagen wie ich herausbekommen kann, wer mir dies angetan hat???

[biirusooseeji]

Hallo.

Das ist codiertes HTML.

Kommt in etwa folgendes raus:

---schnipp---

<table width="360" border="0">

<tr>

<td><font color="#FFFFFF" face="Verdana, Arial, Helvetica, sans-serif" size="2">Hallo!

<br>

Ich bin so einsam und würde den Frühling gern mit einem Partner verbringen!

<br>

Hast Du Lust mich kennen zu lernen? <br>

Hast Du Lust mit mir zu chatten? </font></td>

<td><a href="http://christiane.re6.de" onmouseout="window.status=' ' ; return true" onmouseover="window.status='Chatte mit mir!'; return true"><img src="http://www.galeon.com/gyve/Britan/set4/IMG_0594.jpg" width="130" height="200" border="0"></a></td>

</tr>

</table>

<br>

<font color="#FFFFFF" face="Verdana, !@shbk-Idmufsjbb+!rbmt,tdshg!!rjyf<#1#=Et! nttrufhoebbiots=`!gsdg<#gusq90.dgshtsj`od/qf5/cf!!pmnnvrfnvs>!xhocpv/ru`utt<((<sdutsm!sstf!!nolpttdpufq>!xhocpv/ru`utt<(Jmhdjfihfq"&<sdutsm!sstf!?gjdslkjbldo;0`?;cq? vmetbinolõomfm!vjq!tor!tosfqi`msfm/;cq? Jbigqftfnhdg!`ve!Cjbi =as=

;cq? Mhfafq!JvrtwnoEdjmfq=as=

Biqjruhbmf=.gnos?

---schnapp---

Am Ende ist's ein bisschen kaputt.. Naja, ist ja trotzdem deutlich zu erkennen, um was es geht.

cu.

b-san.