Was können Java Scripts anrichten?
Patrick
Hallo!
Ich erhielt eben eine inhaltlose E-Mail (kein Text). Als Absender vermerkt ist "zan@aol.com", unter "CC" steht "marry@yahoo.com". Als Attachement eine einzige HTML-File namens "attach.htm".
Nun, ich bin von Natur aus neugierig und wollte wissen, was diese Datei enthält. Virenscanner laufen im Hintergrund und .htm ist keine .exe, dachte ich, aber verhext war die File dennoch.
Also öffnen. Da war es schon zu spät: von da an gingen ständig Browserfenster auf, eines davon nistete sich in der oberen linken Ecke des Desktops. Es ist so klein, daß weder Titelleiste noch Inhalt zu sehen ist (siehe unten mein Screenshot, über dem "A" von "Arbeitsplatz", und hier ist es deswegen zu sehen, weil ich das ganze offline reproduziert habe, um darüber berichten zu können: ansonsten nistet sich das Ding so geschickt ganz oben links, daß kaum was zu sehen ist). Das Microfenster läßt sich bewegen. Nur mit rechter Maustaste auf dem entsprechenden Bereich in der Taskleisteläßt sich das Fenster schliessen. Dort läßt sich auch der Name erkennen: http://xzl3.yeah.net/
Ich habe in Panik den PC ausgeschaltet.
Wieder beruhigt, öffntet ich erneut die E-Mail und statt die Datei direkt zu öffnen, wählte ich speichern. Dieses nützt jedoch auch nicht: nach ein paar Sekunden nistet sich das Fensterchen wieder an besagter Stelle, und es geht wieder los mit den Popup-Windows - auch Offline (nur daß da in den Fenster steht "Diese Webseite kann offline nicht geöffnet werden"
Da machte ich diesen Screenshot:
<img src="http://www.atmic-eggs.com/temp/xzl3.gif" alt="">
und ließ den Virenscanner die ganze Festplatte durchsuchen: es wurde aber nichts entdeckt.
Hat jemand eine Idee, wo ich noch suchen kann, ob etwas bösartiges (Trojan o. ä.) "abgesetzt" wurde (alle Cookies hatte ich abgelehnt)? Für format:c und Neuinstallation habe ich im Moment leider keine Zeit (das gibt einen ständigen Ärger mit der Teles-Karte und deren Konfiguration).
Danke
PAF (patrickausfrankfurt)
P.S.: Ich kann also nur warnen: wer so eine Mail bekommt sollte sie vielleicht lieber gleich ins Nirvana befördern (ich gehöre nicht zu denen, die hier oder in anderen Newsgroups Panikmache betreibe - ich habe die Mail noch und kann sie jedem Interessierten weiterleiten).
Übrigens: Quellcode der "attach.htm":
<html><script language="javascript">name="winxz";</script>
<frameset rows="10%,*"><frame src="http://xzl3.yeah.net" name="ldxz" noresize scrolling=no>
<frame src="http://www.zhanjiang.gd.cn/nethome/susi/szx/index.htm" noresize scrolling=no>
</frameset></html>
und der anderen Datei im Microfenster:
<HTML><HEAD>
<script language=javascript>
<!--
window.open("http://my.yeah.net/popup.html","nease","width=515,height=135");
//-->
</script>
<meta http-equiv="refresh" content="0;url=http://netin.webjump.com/kai.htm ">
<body></body></html>
Was ist mit dem JS name "winxz"?
Ich poste diese Nachricht noch ins Viren-Forum bei www.chip.de.
Vielleicht klappt's jetzt mit dem Screenshot:
<img src="http://atomic-eggs.com/temp/xzl3.gif" alt="">
Patrick
Hi PAF,
schon dreist, solche agressiven "Werbemethoden". Aber gefährlich im Sinne von destruktiv ist dieses JS'chen wohl kaum, auch wenn ein Fenster ein anderes usw. öffnet. - Kann man das automatische Ausführen von JSs, z.B. im Netscape Messenger, nicht eigentlich auch deaktivieren?
SAB (Stefan aus Bornheim) :-)
Hallo Stefan!
SAB (Stefan aus Bornheim) :-)
Im Ernst??? Dann sind wir fast Nachbarn!
PAF-O (patrickausfrankfurt-ostend) und mittlerweile den Plagegeistern losgeworden (unter DOS ließ sich die widerspenstige Datei problemlos löschen, und ich habe eine neue .pwl angelegt)
Mail doch mal, wenn Du magst, OK?
Hi Patrick,
SAB (Stefan aus Bornheim) :-)
Im Ernst??? Dann sind wir fast Nachbarn!
Aber nur sehr fast, denn Bornheims gibt es 5 Stück in Deutschland, und 'meins' liegt in der Nähe des (Noch-)Bundesdorfes Bonn! ;-)
Gruß,
SA[53332]B
Nanu?
SA[53332]B
Was ist diese Rätselhafte Zahl? Eine Telefonnummer? Einfach so? Im Forum?
Es könnte auch die Zahl, die sich ergibt, wenn Du Dein Alter durch die Schuhgröße beider Füße multiplizierst... Habe ich recht?
Also bei mir ergäbe es dann: 67240...
So, und da jeder, der auf meiner HP weiß, daß ich 40 bin, und wenn ich sage, daß meine beide Füße die gleiche Schuhgröße benötigen (soll ja Leute geben, bei denen ist das anders), dann ist es nicht mehr so schwierig, diese zu ermitteln, nicht wahr?
Bis danndann
Guten Rutsch
PAF (patrickausfrankfurt)
hi!
SA[53332]B
Was ist diese Rätselhafte Zahl? Eine Telefonnummer? Einfach so? Im Forum?
Es ist natürlich die Postleitzahl ;)) Weil es doch mehrere Orte mit diesem Namen in Deutschland gibt und du fälschlicherweise angenommen hast, dass er in deiner Nähe wohnt.
bye, Frank!
Hallo Frank!
Es ist natürlich die Postleitzahl ;)) Weil es doch mehrere Orte mit diesem Namen in Deutschland gibt und du fälschlicherweise angenommen hast, dass er in deiner Nähe wohnt.
Aber meine Schuhgröße hast Du nicht herausgefunden...
Bis danndann
PAF (patickausfrankfurt)
Hallo Frank!
Es ist natürlich die Postleitzahl ;)) Weil es doch mehrere Orte mit diesem Namen in Deutschland gibt und du fälschlicherweise angenommen hast, dass er in deiner Nähe wohnt.
Aber meine Schuhgröße hast Du nicht herausgefunden...
Hi :)
<math>67240 = x(y*y) |x=40
67240/40 = (y*y)
1681 = (y*y)
41 =y </math>vorausgesetzt deine beiden Füße sind gleich groß! *g*
Schöne Grüße
thomas
Hallo Frank!
41 = y
</math>vorausgesetzt deine beiden Füße sind gleich groß! *g*
Ob die gleich groß nicht, habe ich nicht gemessen... Aber die Schuhgröße ist für beide gleich.
Aber, wenn Du so gut in Mathe bist, dürfte Dir der Hinweis unter dem Counter auf Atomic Eggs (das mit dem Schampus) auch interessiert haben (bitte aber nicht hier verraten!!!).
Bis danndann
PAF (patrickausfrankfurt)
Hi again!
Hallo Frank!
Ich meinte natürlich Thomas... aber vielleicht interessiert sich auch Frank für die Flasche Schampus...
Habt Ihr auch das Gefühl, daß irgendwie Sylvester naht?
Bis danndann
Hallo Patrick!
Ich erhielt eben eine inhaltlose E-Mail (kein Text). Als Absender vermerkt ist "zan@aol.com", unter "CC" steht "marry@yahoo.com". Als Attachement eine einzige HTML-File namens "attach.htm".
Sehr verdächtig!
[schnipp!]
Ich poste diese Nachricht noch ins Viren-Forum bei www.chip.de.
Das ist ein guter Tip!
Ich selbst hatte und habe immer noch ähnliche Probleme (immer noch sitzt Netbus 1.7 fies grinsend in meinem C:\WINDOWS-Verzeichnis, 2 gemeine files, die sich weder umbenennen noch löschen lassen), ich habe mir 2 Trojaner über ICQ eingefangen, aber wie ich inzwischen von Thomas Kienzle weiß, kann man sich so etwas eben auch durch ein einfaches Attachement oder sogar durch CD-Rom-Updates einfangen, warum also nicht über JS? Patrick, ich schicke Dir mal die Mail, die ich von Thomas bekommen habe, da stehen Links u.a. zu Virenscannern drin, aber auch, wie man selbst suchen kann. Durch diese Mail habe ich meinen 2. Trojaner entdeckt, aber entfernen konnte ich ihn immer noch nicht. Mit folgendem Programm kann man aber alle finden: < www.dynamsol.com/puppet/ >
Viele Grüße,
Kirsten
Hallo!!
Zunächst, vielen Dank an Kirsten für die Adressen. Cleaner 2.0 habe ich laufen lassen: es hat keine Trojans endeckt. Ferner habe ich auch F Secure gedownloadet und lasse es nachher laufen.
Die Plagegeister liessen mir keine Ruhe und waren wieder da!
Ich habe dabei folgendes festestellt:
die Mail hatte ich nicht gelöscht, lediglich die Dateien, die mir verdächtig kamen und alles was mit xz... irgendwas anfing.
Das Ding ist ganz schön heimtückisch: denn sofortiges Löschen hätte nichts gebracht. Es reicht, die Nachricht mit der Maus zu markieren (muß man ja, um sie zu löschen). Wenn man da die Nachricht löscht oder das Mailprogramm schließt AUCH OHNE EIN EINZIGES MAL das Attachment geöffnet zu haben, wird die HTML Datei xzl3_yeah aufgerufen. Wenn man da online ist, gibts eine Weiterleitung zu WebJump.
Hier ein Stück Code aus deren oberen Frame:
<html>
<head>
<title>WebJump Banner</title>
<META HTTP-EQUIV=REFRESH CONTENT="180;URL=revenue_ad.asp">
<base target="main">
</head>
<body background="images/backgrounds/banner_bkgnd.gif" topmargin="2" leftmargin="0" marginwidth="0" marginheight="2">
<table cellspacing="0" cellpadding="0" border="0">
<tr>
<td valign="middle" width="100%">
<!-- AdSpace spacedesc=webjump --><a target="_top" href="/event.ng/Type=click&ProfileID=1&RunID=1&AdID=23&TagValues=193&FamilyID=2&GroupID=1&Redirect=http:%2F%2Fwww.webjump.com"><img src="http://216.49.10.237/ads/webjump/ad9.gif" border=0 alt="Free Hosting!"></a>
<!-- /AdSpace -->
</td>
</tr>
</table>
<BR>
<BR>
<BR>
<BR>
<BR>
<BR>
<BR>
<BR>
<BR>
<BR>
<BR>
<BR>
referer=http://netin.webjump.com/kai.htm
host=194.117.255.73<BR>
remoteaddr=194.117.255.73<BR>
localaddr=216.49.10.238<BR>
</body>
</html>
2 Fragen:
Wie ist sowas möglich?
Was kann man gegen WebJump (kai.htm) unternehmen?
Vielen Dank für Tips
PAF (patrickausfrankfurt)
P.S.: Ich habe die Mail aus dem Posteingang entfernt und anderswo lokal abgespeichert, wo es kein Schaden einrichten kann.
Ich frage mal bei CHIP, ob die damit was anfangen können.