Trojaner-Board - Auf fragwürdige Webseite gekommen

Trojaner-Board (https://www.trojaner-board.de/)

- Diskussionsforum (https://www.trojaner-board.de/diskussionsforum/)

- - Auf fragwürdige Webseite gekommen - wie schlimm (https://www.trojaner-board.de/154893-fragwuerdige-webseite-gekommen-schlimm.html)

Auf fragwürdige Webseite gekommen - wie schlimm

Hallo,

zuletzt wollte ich mich über aktuelle Spiele informieren und auf die bekannte Seite gamestar.de gehen. Leider vertippte ich mich und kam auf die Seite:

Code:

h**p://www.gamesstar.de/

Was zunächst scheint wie ein deadlink lädt leider über ein iframe Daten von einer anderen Seite. Bin neugierig geworden und bin dem ein bisschen gefolgt, kenne mich aber leider nicht gut genug aus um herauszufinden welchen code die Seite nachlädt.

Hat einer Lust die Seite genauer zu untersuchen? Gerne schicke ich auch was ich bisher herausgefunden habe.

Liebe Grüße

Interessant. Bei mir kommt "Bla-blub-klees.net nicht gefunden". Scheiß drauf.:blabla:

Lass Dich davon nicht täuschen, schau Dir mal den Quelltext an!
Die nicht gefundene Seite ist lediglich ein iframe. Im Hintergrund lädt:

Code:

<div id="DFrame" class="DFrame_div">

        <div id="EFrame" align="center" class="EFrame_div">

                <div id="FFrame" class="FFrame_div">

                <img src="/.images/layer_table_header_left.gif" vspace="0" hspace="0" align="left"><a href="#" onClick="hideLayer();return false"><img src="/.images/layer_table_header_right.gif" border="0"></a>

                </div>

                <script type='text/javascript'><!--//<![CDATA[

   var m3_u = (location.protocol=='https:'?'https://images.komplads.net/img5.php':'hxxp://images.komplads.net/img5.php');

   var m3_r = Math.floor(Math.random()*99999999999);

   if (!document.MAX_used) document.MAX_used = ',';

   document.write ("<scr"+"ipt type='text/javascript' src='"+m3_u);

   document.write ("?zoneid=30");

   document.write ('&amp;cb=' + m3_r);

   if (document.MAX_used != ',') document.write ("&amp;exclude=" + document.MAX_used);

   document.write (document.charset ? '&amp;charset='+document.charset : (document.characterSet ? '&amp;charset='+document.characterSet : ''));

   document.write ("&amp;loc=" + escape(window.location));

   if (document.referrer) document.write ("&amp;referer=" + escape(document.referrer));

   if (document.context) document.write ("&context=" + escape(document.context));

   if (document.mmm_fo) document.write ("&amp;mmm_fo=1");

   document.write ("'><\/scr"+"ipt>");

//]]>--></script><noscript><a href='hxxp://images.komplads.net/img11.php?n=a6b8da80&amp;cb=422a6bd80b6845901298554066f7110f' target='_blank'><img src='hxxp://images.komplads.net/img9.php?zoneid=30&amp;cb=422a6bd80b6845901298554066f7110f&amp;n=a8ccef3a' border='0' alt='' /></a></noscript>

        </div>

</div>

Und ab da geht es noch weiter, wenn Du möchtest schreibe ich mal was ich auf der Seite gefunden habe. Kann aber leider nichts damit anfangen...

Interessant. Da dürfte aber nix passieren, solange man nicht auf irgendeinen Button klickt. NoScript könnte da auch noch eine Barriere sein.

Aber schon raffinierte Falle.:pfui:

NoScript hatte ich aber leider nicht installiert, und was ich befürchte ist, dass die Seite im Hintergrund Schadcode nachlädt.
Dem wollte ich nachgehen, merke aber leider, dass ich mich nicht gut genug auskenne um wirklich zu verstehen was genau auf der Seite passiert. Daher dachte ich dass sich hier vielleicht ein Experte befindet, der mir erklären kann was genau auf der Seite vorgeht und ob mein System von irgendwelchen Schädlingen befallen ist.

Wenn man sich vertippt heißt das noch lange nicht das deswegen ein Fehler sich eingeschlichen hat, bzw. ein Bug.
Oder verstehe Ich da was falsch??

Gruß

Daran verstehst Du falsch, dass die Seite, die geladen wird insgeheim Javascript nachlädt. Schau Dir mal denn Quelltext an und vergleiche mit einem echten deadlink ;)

Nochmal für alle Mitleser:
Die 404 Seite ist nur ein iframe. Im Hintergrund wird weiterer code nachgeladen. Interessant ist, was genau dieser code bewirkt, bzw. welche Art von Schadecode ausgeführt wird.

Ich kenne mich nun leider nicht so besonders mit HTML und Javascript aus aber für mich sieht das so aus, als ob eine Bilddatei geladen werden soll.
Wäre interessant zu wissen, wie alt diese Seite ist. Ich meine etwas ganz ähnliches vor langer Zeit mal gesehen zu haben. Vllt. ist das eine inaktive Adfalle. In einer VM könnte man das testen. Dazu habe ich aber keinen Bock.:pfeiff:

Ich werde mir das heute Abend mal auf meinem Testrechner ansehen.

Dieses Script läd ein anderes Script, dass ein "Flash-Objekt" erzeugt.

Vielen Dank!! Dieses erzeugte Flash Objekt, weißt Du ob es Schadcode enthält? Könntest Du es mal bei virustotal oder dergleichen durchscannen lassen?

EDIT: Die Rede ist von "kon_day_und_night_d22.swf", oder? Laut virustotal.com harmlos. Aber was soll dann der ganze Zirkus? Ich verstehe es nicht. Ist die Seite also sauber und mein System nicht infiziert?

Also auf meinem Rechner mit veralteter Software wurde nichts nachgeladen, ich hab die Seite aber auch nur aufgerufen und nichts angeklickt.

@Keckrem: Vielen Dank für Deine Mühe. Kannst Du genauer erklären, was Du mit "nichts nachgeladen" meinst? Dass der script bei Dir im Hintergrund nicht ausgeführt wurde, oder dass an Deinem System nichts verändert wurde?
Bedenke bitte auch, dass Du im schlimmsten Fall gar nicht mitbekommst, wenn im Hintergrund eine Lücke von dem Flash Player ausgenutzt wurde.