Patrick Guenther: SPAM mit <script>: Was passiert?

Hallo!

Ich habe heute versehentlich eine unerwünschte Mail (I miss you von brandylovesyou@...) im Vorschaufenster des Netscape-Communicators (4.73 deutsch) geöffnet und mir danach den Quelltext angesehen. Die Mail ist frei von lesbaren Inhalten, normalerweise würde man sie also wohl löschen. Folgender Code war aber im Quellcode zu finden:

<script>
function Ikloy( s ) { var sRet=""; for(j=0; j< s.length; j++ ){ var n= s.charCodeAt(j); if (n>=8364) {n = 128;} sRet += String.fromCharCode( n - 3 ); } return( sRet ); }
var sJsCmds ="" +
"?KWPOA?KHDGA?WLWOHA?2WLWOHA?2KHDGA?ERG|#ejfroru@%&IIIIII%A?wdeoh#erughu@%3%#zlgwk@%:8(%#ejfroru@%&339999%#fhoovsdflqj@%9%#doljq@%FHQWHU%A##?wuA####?wgA######?wdeoh#erughu@%3%#zlgwk@%:8(%#ejfroru@%&333333%#doljq@%FHQWHU%A########?wuA###########?wgA#############?sA)qevs>?2sA############?xoA##############?olA?irqw#froru@%&IIIIII%AOlyh#Rqh#Rq#Rqh#Fdpv#?2irqwA?2olA##############?olA?irqw#froru@%&IIIIII%A533#Wkhdwhuv#ZLWK#VRXQG#?2irqwA?2olA##############?olA?irqw#froru@%&IIIIII%ARyhu#93/333#Wkxpeqdlohg#[[[#Slfwxuhv#Olyh#################Zhe#Fdpv#?2irqwA?2olA##############?olA?irqw#froru@%&IIIIII%A833#Jluo#Vwuhdp#Ylghrv#?2irqwA?2olA##############?olA?irqw#froru@%&IIIIII%A833#Olyh#Vwuls#Vkrzv#zlwk#Fkdw#Uhdo#Dxglr#################?2irqwA?2olA##############?olA?irqw#froru@%&IIIIII%A[[[#Vwrulhv#?2irqwA?2olA##############?olA?irqw#froru@%&IIIIII%ADgxow#Jdphv?2irqwA?2olA##############?olA?irqw#froru@%&IIIIII%AIuhh#Fdvlqr#Jdphv?2irqwA?2olA############?2xoA##########?2wgA########?2wuA########?wuA###########?wgA#############?wdeoh#erughu@%3%#zlgwk@%;:(%#doljq@%FHQWHU%#ejfroru@%&333333%A##############?wuA#################?wgA#?lpj#vuf@%kwws=225361;<14<614742(:Hdiilo7<;42dg51msj%#zlgwk@%898%#khljkw@%53:%A?2wgA##############?2wuA############?2wdeohA##########?2wgA########?2wuA########?wuA###########?wgA#############?wdeoh#erughu@%3%#zlgwk@%74(%#doljq@%FHQWHU%A##############?wuA#################?wkA###################?irupA####################?lqsxw#w|sh@%EXWWRQ%#ydoxh@%Folfn#khuh#Iru#Lpphgldwh#Dffhvv#$%#rqfolfn@%zlqgrz1rshq+*kwws=22vhfxuh1leloo1frp2fjl0zlq2ffdug2uvfrrnlh1h{hBUhyVkduhLG@d4545})uhwxuqwr@kwws=22333333336461333333334641333333336341333333334:32wudfn2fjl0elq2oqnlqowh1fjlBo@diilonz7<;4*/#*Vdpsoh*/#*wrroedu@qr/orfdwlrq@qr/gluhfwrulhv@qr/vwdwxv@qr/phqxedu@qr/vfurooeduv@|hv/uhvl}deoh@qr/frs|klvwru|@qr/ixoovfuhhq*,%#qdph@%EXWWRQ%A##################?2irupA################?2wkA##############?2wuA############?2wdeohA############?xoA##############?olA#################?gly#doljq@%FHQWHU%A################?2glyA##############?2olA##############?olA#################?gly#doljq@%FHQWHU%A##################?irqw#froru@%&IIIIII%ARqolqh#Dgxow#Vh{#Jdphv#[[[#?2irqwA#################?2glyA##############?2olA##############?olA#################?gly#doljq@%FHQWHU%A##################?irqw#froru@%&IIIIII%ASruq#Pdjd}lqh#?2irqwA#################?2glyA##############?2olA##############?olA#################?gly#doljq@%FHQWHU%A##################?irqw#froru@%&IIIIII%AH{foxvlyh$#7/333#Vl}}olqj#Olyh#Ylghr#Ihhgv?2irqwA#################?2glyA##############?2olA##############?olA#################?gly#doljq@%FHQWHU%A##################?irqw#froru@%&IIIIII%A8/333#Hurwlf#[[[#Vwrulhv#?2irqwA#################?2glyA##############?2olA##############?olA#################?gly#doljq@%FHQWHU%A##################?irqw#froru@%&IIIIII%A4333#Qhz#Slfwxuhv#dgghg#Gdlo|#?2irqwA#################?2glyA##############?2olA############?2xoA##########?2wgA########?2wuA######?2wdeohA####?2wgA##?2wuA?2wdeohA?2ERG|A?2KWPOA" +
"";
var s= Ikloy( sJsCmds);
document.write (s);
</script>

Was macht das mistige Teil? Kann man das irgendwie entschlüsseln??? Als ich den Communicator eben geschlossen habe, ging kurz ein Fenster mit Fortschrittsanzeige auf (konnte nur "Communicator aktualisiert..." lesen, dann war es wieder zu), was mich etwas beunruhigt hat.

Ich habe mit Google nach ein paar Stichworten gesucht aber keine Infos zu solchen Mails/Scripts gefunden. Hoffentlich kann mich hier jemand beruhigen, daß diese Mail in meiner Registry keinen Unfug anstellt, oder mich bei irgendeinem Spammer validiert...

mfg

Patrick Guenther

Antworten bitte an Patrick Punkt Guenther At Web Punkt De ;)

  1. Moin,

    Kopier das ganze mal in eine HTML-Datei deiner Wahl...

    document.write (s);

    und aendere das mal in

    alert(s);

    Dann starte die Seite und guck, was drinsteht ;)

    Antworten bitte an Patrick Punkt Guenther At Web Punkt De ;)

    noe ;)

    Viele Gruesse,

    n.d.p.

    1. Moin,

      *gaehn*

      Kopier das ganze mal in eine HTML-Datei deiner Wahl...

      document.write (s);
      und aendere das mal in
      alert(s);

      Genau, oder schreib's in eine Textarea, und dann kommt das raus:

      <HTML><HEAD><TITLE></TITLE></HEAD><BODy bgcolor="#FFFFFF"><table border="0" width="75%" bgcolor="#006666" cellspacing="6" align="CENTER">  <tr>    <td>      <table border="0" width="75%" bgcolor="#000000" align="CENTER">        <tr>           <td>             <p> </p>            <ul>              <li><font color="#FFFFFF">Live One On One Cams </font></li>              <li><font color="#FFFFFF">200 Theaters WITH SOUND </font></li>              <li><font color="#FFFFFF">Over 60,000 Thumbnailed XXX Pictures Live                 Web Cams </font></li>              <li><font color="#FFFFFF">500 Girl Stream Videos </font></li>              <li><font color="#FFFFFF">500 Live Strip Shows with Chat Real Audio                 </font></li>              <li><font color="#FFFFFF">XXX Stories </font></li>              <li><font color="#FFFFFF">Adult Games</font></li>              <li><font color="#FFFFFF">Free Casino Games</font></li>            </ul>          </td>        </tr>        <tr>           <td>             <table border="0" width="87%" align="CENTER" bgcolor="#000000">              <tr>                 <td> <img src="http://203.89.193.141/%7Eaffil4981/ad2.jpg" width="565" height="207"></td>              </tr>            </table>          </td>        </tr>        <tr>           <td>             <table border="0" width="41%" align="CENTER">              <tr>                 <th>                   <form>                    <input type="BUTTON" value="Click here For Immediate Access !" onclick="window.open('http://secure.ibill.com/cgi-win/ccard/rscookie.exe?RevShareID=a1212z&returnto=http://00000000313.00000000131.00000000301.00000000170/track/cgi-bin/lnkinlte.cgi?l=affilkw4981', 'Sample', 'toolbar=no,location=no,directories=no,status=no,menubar=no,scrollbars=yes,resizable=no,copyhistory=no,fullscreen')" name="BUTTON">                  </form>                </th>              </tr>            </table>            <ul>              <li>                 <div align="CENTER">                </div>              </li>              <li>                 <div align="CENTER">                  <font color="#FFFFFF">Online Adult Sex Games XXX </font>                 </div>              </li>              <li>                 <div align="CENTER">                  <font color="#FFFFFF">Porn Magazine </font>                 </div>              </li>              <li>                 <div align="CENTER">                  <font color="#FFFFFF">Exclusive! 4,000 Sizzling Live Video Feeds</font>                 </div>              </li>              <li>                 <div align="CENTER">                  <font color="#FFFFFF">5,000 Erotic XXX Stories </font>                 </div>              </li>              <li>                 <div align="CENTER">                  <font color="#FFFFFF">1000 New Pictures added Daily </font>                 </div>              </li>            </ul>          </td>        </tr>      </table>    </td>  </tr></table></BODy></HTML>

      So long

      1. Hey Calocybe!

        Wo treibst du dich denn rum ????

        <ul>
        <li><font color="#FFFFFF">Live One On One Cams </font></li>              <li><font color="#FFFFFF">200 Theaters WITH SOUND </font></li>              <li><font color="#FFFFFF">Over 60,000 Thumbnailed XXX Pictures Live Web Cams </font></li>
        <li><font color="#FFFFFF">500 Girl Stream Videos </font></li>              <li><font color="#FFFFFF">500 Live Strip Shows with Chat Real Audio</font></li>
        <li><font color="#FFFFFF">XXX Stories </font></li>
        <li><font color="#FFFFFF">Adult Games</font></li>
        <li><font color="#FFFFFF">Free Casino Games</font></li>            </ul>

        <input type="BUTTON" value="Click here For Immediate Access !" onclick="window.open('[ Z E N S U R I E R T]', 'Sample', 'toolbar=no,location=no,directories=no,status=no,menubar=no,scrollbars=yes,resizable=no,copyhistory=no,fullscreen')" name="BUTTON">

        ??????????

        *fg* Was war denn das?

        lg bernhard

        1. Auch hey!

          Wo treibst du dich denn rum ????

          Tja, kannst Du mal sehen, wie viel ich in der Welt rumkomme. *g*

          *fg* Was war denn das?

          Naja, halt das decodierte sJsCmds. :-)

          So long

          1. Hallo Calocybe,

            Wo treibst du dich denn rum ????
            Tja, kannst Du mal sehen, wie viel ich in der Welt rumkomme. *g*

            Ja, in den dunklsten Ecken und Gassen des Web, ein richtiger Backstreet Boy - wie?

            ;-)

            *fg* Was war denn das?
            Naja, halt das decodierte sJsCmds. :-)

            hmmmmm, also, ich bezweifle das, ich glaube eher du hast eine neue herausforderung gefunden, und driftest in die xxx-szene ab. Hab gehört die besten webmaster machen heutzutage porno-seiten, denn da können sie sich noch richtig austoben, die Besucher herumschicken wohin sie wollen, sensitive daten sammeln was das zeug hält, und das alles mit 3 Seiten und fünf bildern, allerdings mit > 10.000 Visits pro Tag ;-)

            du wolltest da ganz unscheinbar dein neues Projekt bewerben, stimmts? Aber ich bin einfach zu schlau dafür ;-)

            Bleib da bitte!
            Entsage der Sünde!
            lg bernhard :-)

            PS: Ich bin sicher, in wirklichkeit hat das was ganz anderes geheissen. Wenn ich dieses ominöse 's' entschlüssle bekomme ich wenn schon dann sicher sowas wie:

            <HTML>
            <HEAD>
              <META HTTP-EQUIV="Content-Type" CONTENT="text/html;
            charset=iso-8859-1">
              <TITLE>Willkommen bei Helmi</TITLE>
             </HEAD>
            <BODY BGCOLOR="#000000" BACKGROUND="spaceanimation.gif"  TOPMARGIN=2
            LEFTMARGIN=2 MARGINWIDTH=2 MARGINHEIGHT=2 >
                <CENTER><center>
                <TABLE CELLPADDING=0 CELLSPACING=0 WIDTH="100%" HEIGHT="100%"
            VALIGN=TOP>
                    <TR>
                        <TD VALIGN=TOP>
                            <P ALIGN=CENTER><BR>
                    <br>
                    <B><FONT
            COLOR="#FF0000" SIZE="+3">Hallo Freunde!<BR>Willkommen auf meiner
            Homepage<BR><BR><A HREF="http://www.helmi.at/Redirect/redirect.html"
            target="_top"><IMG ID="Picture3" HEIGHT=158 WIDTH=298
            SRC="Intro11.gif" VSPACE=0 HSPACE=0 ALIGN="TOP" BORDER=0></A></FONT>
            </B>
                            <P ALIGN=CENTER><BR><A
            HREF="http://www.helmi.at/Redirect/redirect.html" target="_top"><B>
            <FONT COLOR="#FF0000" SIZE="+2">Klick hier, dann geht's los!</FONT>
            </B></A></P>
                        </TD>
                    </TR>
                </TABLE>
                </CENTER>
            </BODY>
            </HTML>

            1. Tach Bernhard!

              Ja, in den dunklsten Ecken und Gassen des Web, ein richtiger Backstreet Boy - wie?

              Uh.. oh. *g*

              hmmmmm, also, ich bezweifle das, ich glaube eher du hast eine neue herausforderung gefunden, und driftest in die xxx-szene ab. Hab gehört die besten webmaster machen heutzutage porno-seiten, denn da können sie sich noch richtig austoben, die Besucher herumschicken wohin sie wollen, sensitive daten sammeln was das zeug hält, und das alles mit 3 Seiten und fünf bildern, allerdings mit > 10.000 Visits pro Tag ;-)

              Eh.. duh.. naja... also... weisst Du... ich war doch noch so jung! *schluchz* Und ich hab das Geld wirklich gebraucht! *heul* Und es war doch so einfach! Einfach ein paar Seiten... *schnief* ...
              Und ausserdem sind es im Durchschnitt 10295 Visits, sojetzthabichsdirabergegeben!!!

              Bleib da bitte!
              Entsage der Sünde!

              Ok, Du hast mich erwischt! Aber glaub ja nicht, dass das heisst, dass Du mich so leicht rumkriegst! Ihr Prediger seid doch alle gleich! Erst schoen reden, und dann... Ich kenn Euch doch! Nee, da musst Du schon frueher aufstehen, jahaaa... !

              PS: Ich bin sicher, in wirklichkeit hat das was ganz anderes geheissen. Wenn ich dieses ominöse 's' entschlüssle bekomme ich wenn schon dann sicher sowas wie:
              <HTML>
              [...]

              Hey! Hast Du das einfach durchs draufgucken gesehen? Gib's zu, Du hast es heimlich selber decodiert! Mann, das ist aber echt unfair! *mmpf*

  2. Salve

    Das ganze Ding soll nur eine HTML-Seite erzeugen.
    Wie passiert das?
    Der Inhalt der Variable „s“ stellt den ursprünglichen Inhalt der
    HTML-Seite dar. Diese wurde durch eine Art Generator gejagt und
    stellt nun diese kryptischen Zeichen dar.

    Die Entschlüsselungsroutine „Ikloy(s)“ erzeugt nun daraus wieder
    die HTML-Seite.

    //...sicherstellen, dass in sRet nichts „drinsteht“
    var sRet="";

    // Schleife so oft durchlaufen wie Zeichen in “s“ stehen...
    for(j=0; j< s.length; j++ )

    // hier wird in „n“ der Latin-1-Zeichensatzwert (z.B. 65 für „A“)
    // eines Zeichens aus dem String „s“ abgelegt.
    // Wobei „j“ ( wird bei jedem Schleifendurchlauf ja um den Wert 1
    // erhöht) dafür sorgt, dass alles Zeichen im String „s“
    // nacheinander „ausgewertet“ werden...
    var n= s.charCodeAt(j);

    // wenn „n“ größer als ....dann... (ein Limit eingebaut???)
    if (n>=8364)
    n = 128;

    // Hier das Ganze wieder umgekehrt, nur dass der Latin-1-Zeichensatz-
    // wert vorher noch subtrahiert wird. In „sRet“ wird nun wieder
    // Zeichen für Zeichen neu „abgelegt“ - nureben um den Wert 3
    // verschoben (also aus 65 wird 62, was dann dem Zeichen „>“
    // entspricht).
    sRet += String.fromCharCode( n - 3 );

    // ..und ausgeben
    document.write(s);

    ---------------------------------------------------------------------

    Der Generator für den String „s“ muss etwa so aufgebaut sein -
    nur eben ohne die Alert-Box...

    <script>
    str="<html><head><title> Was soll das? </title></head><body><p> Bla Bla Bla </p></body></html>";
    var newstr="";
    for(i=0;i<str.length;i++){
     var x= str.charCodeAt(i)
     newstr += String.fromCharCode( x + 3 );
    }//END for
    alert(newstr);
    </script>

    Das Ergebnis in der Alert-Box sieht dann aus wie der Kauderwelsch aus dem Script. ;-)

    Viel Spaß wünscht
    Dirk ;-)

  3. Hallo Patrick,

    daß diese Mail in meiner Registry keinen Unfug anstellt

    Sollte mit JavaScript nicht möglich sein, einen Browser ohne Sicher-
    heitslücken vorausgesetzt.

    oder mich bei irgendeinem Spammer validiert...

    Da muß man aufpassen, weil der Spammer ja nur ein Bild einbauen muß,
    welches dann beim Anschauen der e-Mail abgerufen wird.
    Wenn da z.Bsp. <img src="http://spamserver.xy/id2134124> drinsteht
    und Du öffnest die e-Mail in einem HTML-fähigen Mailprogramm, dann
    wird das Bild geladen und der Spammer weiß, dass das Opfer mit der
    ID 2134124 die e-Mail zumindest kurz angeschaut hat, diese Adresse
    wird also genutzt.

    Um diesen Effekt zu vermeiden, solltest Du ein Mailprogramm ein-
    setzen, dass überhaupt kein HTML-Mails anzeigt oder nur mit ent-
    sprechenden Vorsichtsmassnahmen. The Bat! z.Bsp. zeigt keine
    externen Inhalte innerhalb von HTML-Mails an.

    Viele Grüße aus Dresden,
    Stefan Einspender