Ich zeige euch hier kurz ein Beispiel einer gehijackten (hijacked) Website. Was ist hjacking?
Heute bekahm ich eine Meldung, dass ein Arbeitskollege mit einem Virus infiziert ist. Sofort machte ich mich auf die suche, woher der Virus kommt. Schnell wurde ich in den Proxy-Logfiles fündig:
Der User suchte ein Hotel in China, dabei benützte er die Google suche wobei er die Webseite des Fünfstern-Hotels “Grand Hotel Beijing” (link) stoss. Nachdem er die Sprache (English) ausgewählt hatte und auf die Zimmer Auswahl “Classic Guestroom” geklickt hatte, wurde er auf die Subseite www.grandhotelbeijing.com/english/k-zongshu.asp weitergeleitet. Auf dieser Seite ist nun ein malicious Code eingefügt, welcher man auf den ersten blick erst gar nicht sieht. Schaut man sich jedoch den Quellcode der Page etwas genauer an, fällt am ende des Quellcodes folgende Code auf:
und
Die erste Codezeile führt ein JavaScript aus. Der Link ist kodiert, dekodiert man ihn kommt ein Verweis auf http://ip516.cn/sj/sj.js zum Vorschein. Dabei ruft das JavaScript "sj.js" die Webseite http://ip516.cn/sj/sas.htm auf.
Die zweite Codezeile öffnet einen iframe welcher auf http://w.mh8888.cn/ad.htm?m verweist. Öffnet man den Link versucht die Webseite uns zahlreiche Schadsoftware unter zu jublen indem sie uns auf eine vielzahl infizierten Webseite verweist:
http://www.5460w.cn/help/web.htm (ANI Exploit)
http://www.5460w.cn/index.htm (ANI Exploit)
http://w.mh8888.cn/xxx.htm (ANI Exploit)
http://222.172.81.2/index.htm (ANI Exploit)
http://s11.cnzz.com/stat.php?id=518184&web_id=518184 (Counter)
http://www.5460w.cn/windows/web.htm (ANI Exploit)
http://jxdoe.com/feng.htm (ANI Exploit)
http://w.mh8888.cn/ad.htm?m (ANI Exploit)
Die Webseite www.5460w.cn wiederum verweist weiter auf noch mehr schädlichen Inhalt:
http://www.5460w.cn/windows/vip.htm (VBS/Psyme)
http://www.5460w.cn/windows/vip1.htm (VBS/Psyme)
http://www.5460w.cn/windows/vip2.htm (VBS/Psyme)
http://www.878772.cn/wm/sky1.htm (VBS/Psyme)
http://www.1count.cn/ms016.htm?001 (Counter)
http://www.878772.cn/wm/sky1.htm (VBS/Psyme)
Die Webseite jxdoe.com/feng.htm wiederum verweist weiter auf folgende Webseiten:
http://jxdoe.com/vip1.htm (VBS/Psyme)
http://jxdoe.com/vip2.htm (VBS/Psyme)
http://jxdoe.com/vip3.htm (VBS/Psyme)
http://jxdoe.com/vip4.htm (VBS/Psyme)
http://ww1.tongji123.com/t1.aspx?id=15146867 (Counter)
Die Webseite www.5460w.cn wiederum verweist weiter auf folgende Webseiten:
http://www.5460w.cn/windows/ah.c (ANI Exploit)
http://js.users.51.la/1111111.js (ObfuscatedHtml)
http://js.users.51.la/1048263.js (ObfuscatedHtml)
http://js.users.51.la/1023960.js (ObfuscatedHtml)
Wird der ANI Exploit erfolgreich ausgeführt, installiert sich auf eurem PC Schadsoftware. Somit endet euer PC als Spamzombie....
UPDATE (19.6.07 - 11:26 Uhr)
Scheinbar läuft zur Zeit ein gross angelegter Angriff auf Web Anwender.
Es wird empfohlen die IP-Adresse (64.38.33.13 TRUMAN.DNSPATHING.COM) des MPACK-Server, auf welchem die Exploits gehostet sind, zu Blockierten. Heise Newsticker Meldung
