Anzeige

Javascriptvirus auf Website


#1
Hallo,

vor kurzem hab ich entdeckt das sich Fremdcode in vielen Html-Dateien befindet
Es werden iframes vor das schließende Body-Tag eingefügt.

Ohne-Titel-1.png

Zudem werden Tags wie
Code:
<!--/e63edd-->
hinter Div-Boxen eingefügt.

Der Virenscanner beschreibt den Virus als "Java-Scriptvirus JS/BlacoleRef.W.46"

Hat jemand Erfahrung bezüglich solcher Vorkommnisse?
Streut der Virus?
Ansteckungsgefahr?

Ich geh davon auf das sich solcher Code ausschließlich in Html-Dateien befindet und nicht etwa in Php- oder gar Sql-Dateien?
 

ComFreek

Mod | @comfreek
Moderator
#2
In SQL-Dateien nützt eingefügt Code ziemlich wenig, sofern diese nicht erneut ausgeführt werden.

Was das bringen soll, wüsste ich auch nichts. Ist nur ein HTML-Kommentar.
Das einzige (weithergeholtes), das mir gerade in den Sinn kommt, ist, dass der IE solche Kommentare lesen und verarbeitet (à la IE-Versionsprüfung).
Habe davon aber noch nie gehört.

Wie werden denn die HTML-Dateien produziert/ausgegeben? Werden diese von PHP-Skripten automatisch generiert, gibt es dazu Templates?
 
#3
Hi

vor Kurzem gab es in diesem Thread ein (zumindest teilweise) gleiches Problem:
http://www.tutorials.de/javascript-...m-src-http-198-106-81-146-novo-state-php.html
Auch solche komischen Anfangs/Endcodes, auch ein iframe irgendwohin,
Virusmeldungen, obwohl die Seite im (sandboxartigen) Eigenversuch einen 404 gab...
PHP-Dateien sind dort betroffen.

Da hat sich was Neues der Virenwelt wohl gut verbreitet.
Der genannte Virenname, der bei dir angezeigt wurde,
soll grad mal ein halbes Monat bekannt sein.

edit: Die Herkunft der Seiten/IPs ist ja auch ganz interessant :suspekt:
NTT und Launchpad.
 
#4
Die Ausgabe ist eine kleine weiße Box, schätze etwa 20x20 Pixel, ohne Funktion.
Außerdem wird ein Signalton erzeugt, will man über das Menü auf eine andere Seite,
aber auch nur im Chrome, im anderen Browsern kam eine Meldung von wegen "Gefährdung".
Es gibt keine Generierung durch Php, Seiten sind pures Html.

Habs die Seite auch von Google auf Malware untersuchen lassen, es wurde aber nichts gefunden.
Ansonsten findet man ja auch recht wenig dazu...

NTT und Launchpad?
 
#5
Tach,

ich bin auch von dem Virus/Trojaner betroffen.

Kaspersky meldete einen Trojanerbefall auf meiner eigenen Webseite, die außer reinem HTML und CSS noch Javascript-Plugins im Einsatz hat. Beim Prüfen aller weiteren (Test-) Seiten in meinem Web-Account (u.a. WordPress- und mediawiki-Installationen) schlug der Scanner bei jeder Seite an.

Ich habe in allen index-Dateien (egal .html oder .php) denselben "Kommentar"
Code:
<!--e63edd--><!--/e63edd-->
gefunden. Alle diese Dateien, auch .js-Dateien hatten dasselbe Änderungsdatum (30.11.2012, 10:22h). CSS, Bilder und PDFs sind nicht betroffen.

In der Logdatei vom Provider konnte man sehr gut nachvollziehen, wie alle betroffenen Dateien zum selben Zeitpunkt runter- und wieder hochgeladen wurden.

Es liegt nahe, dass möglicherweise mein lokales FTP-Programm (filezilla) gekapert wurde, da die HTML-Seiten nicht dynamisch und zusätzlich schreibgeschützt sind. Nur so dürfte man da rein kommen. Aber weder Kaspersky, DE-Cleaner und MalwareBytes finden irgendwas auf meinen Rechnern.
Gibt es Trojaner, die reingehen, sich holen was sie brauchen und spurlos wieder verschwinden?

Noch etwas ungewöhnliches: wenn filezilla gekapert wurde, warum wurden nicht alle Accounts (es sind 16) gehackt, sondern nur (m)einer?
Hat es doch nicht filezilla getroffen?

Der Befall der Webseiten lässt sich manuell beheben, in dem man den alten Stand vor der Attacke wiederherstellt oder die Einträge rauslöscht.
 
Anzeige
Anzeige