Infekt da3e94

RAK

Einen schönen guten Morgen in die Runde.

Eingangs wurde ich gefragt, wer mir dieses Forum empfohlen hat.
Wenn Tante Google eingetragenes Mitglied ist, war die das.
Aber Spaß beiseite.

Wie der Titel für suchende Nutzer schon sagt, geht es um den
JS-Virus(?) da3e94

Die Suche im Web hat mir nicht wirklich Erkenntnisse gebracht.
Aber ich möchte berichten, was ich "ermittelt" habe.

Mein Hoster hatte am 10 dieses Monats ein Backupproblem.
Am 12.06.13 um ca. 15:30 Uhr wurde unser Server infiziert.

Da ich mit einem anderen Server beschäftigt war, wurde ich
erst durch 2 Mails auf diesen Umstand hingewiesen.

Die 1. Mail war von yandex.com 14.06.13, 02:38 Uhr
und die andere 14.06.13 08:03 Uhr, von Google

Zum Beitrag, der mich hierher geführt hat. Ich bezweifle,
daß die Infektion etwas mit Forensoftware zu tun hat,
denn bei uns waren mehrere Domains (ein Verzeichnis) betroffen.
Dabei wurden htm, php, htc, js und json befallen.

Der Part beginnt in der Regel mit den üblichen syntaxconformen
Kommentaren
<?
#da3e94#
#/da3e94#
?>
/*da3e94*/
/*/da3e94*/
<!--da3e94-->
<!--da3e94-->
Dazwischen befindet sich das Script.

Da es sich bei uns um mehrere tausend betroffene Dateien handelt,
wird die Geschichte zur Fleißarbeit.
Ein gutes Ergebnis hatte ich mit dem Laden von ca 50 Dateien in
einen Texteditor und dem anschließenden suchen/ersetzen.
Holpert aber etwas.
Außerdem ist der Code nicht in jedem Fall vollständig und hat
teilweise auch bestehende Abschnitte gelöscht, so daß ein
Augenschein unumgänglich scheint.
Wäre schön, wenn weitere Hinweise kämen.

MfG RAK

Zusatz. Wer Interesse hat, kann seine Domain hier kontrollieren lassen.
https://webseite-klinik.de