Trojaner-Board - MalwareSite, die auf Google.com weiterleitet...

Hintergrund ist folgender Vorfall:
>> hxxp://lastchaos-forum.gamigo.de/showthread.php?t=143773
(Diskussionspunkt ist der Analyse-Post auf der ersten Thread-Seite.)

im Telegrammstil:
Ein AdServer eines deustchen Online-Spiele-Publisher wurde offensichtlich kompromitiert und hat per IFRAME Code von einer Taiwanesischen Server-Adresse nachgeladen. Inzwischen wird der Code-Sample von Kaspersky als MalWare geführt (CodeSample wurde bei verschienden AntVir-Firmen zur Untersuchung hochgeladen):

hxxp://www.virustotal.com/de/analisis/5cd62c77e76e60ed311e01044ef12234637bde1703d8bba903b1000c02e1968a-1269693888

Zur Diskussion:

Code wird versucht von h**p://notydivi.com.tw/entropy/index.php abzurufen.
In den weitaus meisten Fällen wird aber einfach ein http-location Redirect an "www.google.com" rückgemeldet (ca. 30x). Erst nach weiteren Spielereien z.B. mit dem http "User Agent" wurde obskurer Code ausgeliefert.

Anbei ein geglückter Code-Abruf über websniffer.net (-xxx- zur Sicherheit im Text)

Zitat:

Connect to 95.143.192.-xxx-142 on port 80 ... ok

GET /entropy/index.php HTTP/1.0[CRLF]
Host: notydivi.com.-xxx-tw[CRLF]
Connection: close[CRLF]
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)[CRLF]
Accept-Encoding: gzip[CRLF]
Accept-Charset: ISO-8859-1,UTF-8;q=0.7,*;q=0.7[CRLF]
Cache-Control: no[CRLF]
Accept-Language: de,en;q=0.7,en-us;q=0.3[CRLF]
Referer: hxxp://web-sniffer.net/[CRLF]
[CRLF]

HTTP Response Header
Name Value Delim
Status: HTTP/1.1 200 OK
Date: Mon, 22 Mar 2010 22:02:04 GMT
Server: Apache
X-Powered-By: PHP/5.2.12
Pragma: no-cache
Cache-Control: no-cache, must-revalidate
Content-Encoding: gzip
Vary: Accept-Encoding
Connection: close
Content-Type: text/html; charset=UTF-8
Content (encoded: 9.46 KiB / decoded: 15.13 KiB)

<body><p>42</p><script></script><script>kryue="0F191_1d1e2Z2[1b2_1`3+3K1H1W1Z3-1X2S2X1S1T2R2f1Q3P1O2U1M2g1K321I373E1D1E2Q3,1@1A2J 271>3Y1<3f1:333Q0W10152^133_113V3Z1.2c1

[.....]

document.body.appendChild(hvcqy);</script></body>

Hat jemand Erfahrung, nach welchen Kritierien solche Malware-Server Code ausliefern? Scheinbar erfolgt das "intelligent" - einmal Malware ausgeliefert, bekomme ich nur noch(?) Weiterleitungen auf "google.com"...

Hinweis zur Klarstellung: Der betroffene Publisher spricht von einem AdScript-Fehler und übersensiblen Virenscanner - es hätte keine Gefahr bestanden. Deshalb sollte meine Aussage hier auch kritisch betrachten.