Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Website selbst erstellt, noch nicht hochgeladen trotzdem HTML/Crypted.Gen Trojan? (https://www.trojaner-board.de/84676-website-selbst-erstellt-noch-hochgeladen-trotzdem-html-crypted-gen-trojan.html)

MaxXx 08.04.2010 16:40
Website selbst erstellt, noch nicht hochgeladen trotzdem HTML/Crypted.Gen Trojan?
 
Hallo Trojaner board,

ich habe nach ewigen Googeln endlich dieses Forum gefunden, also hoffe ich ihr koennt mir helfen :).

Ich habe vor kurzem mit einem Kumpel von mir eine Website erstellt, die wir fuer ein Onlinegame nutzen werden. Naja wir haben die an meinem Pc gemacht, noch nicht einmal hochgeladen und ploetzlich meckert Avira einen HTML/Crypted.Gen Trojan. Ich hab die datei dann mal bei einem online virus scanner hochgeladen um zu sehen was andere Virusscanner dazu sagen und was dabei rausgekommen ist das:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.50 2010.04.08 -
AhnLab-V3 5.0.0.2 2010.04.07 -
AntiVir 7.10.6.48 2010.04.08 HTML/Crypted.Gen
Antiy-AVL 2.0.3.7 2010.04.08 -
Authentium 5.2.0.5 2010.04.08 -
Avast 4.8.1351.0 2010.04.08 -
Avast5 5.0.332.0 2010.04.08 -
AVG 9.0.0.787 2010.04.08 JS/Downloader.Agent
BitDefender 7.2 2010.04.08 -
CAT-QuickHeal 10.00 2010.04.08 -
ClamAV 0.96.0.3-git 2010.04.08 -
Comodo 4539 2010.04.08 -
DrWeb 5.0.2.03300 2010.04.08 -
eSafe 7.0.17.0 2010.04.08 -
eTrust-Vet 35.2.7414 2010.04.08 -
F-Prot 4.5.1.85 2010.04.07 JS/Crypted.AT.gen
F-Secure 9.0.15370.0 2010.04.08 -
Fortinet 4.0.14.0 2010.04.08 -
GData 19 2010.04.08 -
Ikarus T3.1.1.80.0 2010.04.08 -
Jiangmin 13.0.900 2010.04.08 -
Kaspersky 7.0.0.125 2010.04.08 -
McAfee-GW-Edition 6.8.5 2010.04.08 Heuristic.BehavesLike.JS.CodeUnfolding.A
Microsoft 1.5605 2010.04.08 -
NOD32 5010 2010.04.08 -
Norman 6.04.11 2010.04.08 -
nProtect 2009.1.8.0 2010.04.06 -
Panda 10.0.2.2 2010.04.07 -
PCTools 7.0.3.5 2010.04.08 -
Prevx 3.0 2010.04.08 -
Rising 22.42.03.03 2010.04.08 -
Sophos 4.52.0 2010.04.08 -
Sunbelt 6151 2010.04.08 -
Symantec 20091.2.0.41 2010.04.08 -
TheHacker 6.5.2.0.257 2010.04.08 -
TrendMicro 9.120.0.1004 2010.04.08 -
VBA32 3.12.12.4 2010.04.05 -
ViRobot 2010.4.8.2267 2010.04.08 -
VirusBuster 5.0.27.0 2010.04.08 -

Ich habe danach auch saemtliche virus scans und cleans auf meinem PC durchgefuehrt, und habe nichts gefunden.

Naja also dachte ich es ist eine Fehlmeldung, Website hochgeladen und ein paar Leuten gesagt sie sollen die Website angucken, doch ihr Browser und Antivirus (denke auch Avira) laesst sie nicht drauf.
Also hab ich mir meine Website nochmal angeguckt nachdem ich im Internet rausgefunden habe das sowas am Java Script liegen kann.
Ich habe so lange rumprobiert bis ich rausgefunden hab das dieses script :

Code:
<script type="text/javascript">var temp="",i,c=0,out=""; var str="60!108!105!110!107!32!104!114!101!102!61!34!47!115!116!121!108!101!47!109!97!105!110!46!99!115!115!34!32!116!121!112!101!61!34!116!101!120!116!47!99!115!115!34!32!114!101!108!61!34!115!116!121!108!101!115!104!101!101!116!34!47!62!13!10!60!108!105!110!107!32!104!114!101!102!61!34!47!115!116!121!108!101!47!104!105!103!104!115!108!105!100!101!46!99!115!115!34!32!116!121!112!101!61!34!116!101!120!116!47!99!115!115!34!32!114!101!108!61!34!115!116!121!108!101!115!104!101!101!116!34!47!62!13!10!60!108!105!110!107!32!114!101!108!61!34!115!104!111!114!116!99!117!116!32!105!99!111!110!34!32!104!114!101!102!61!34!47!105!109!97!103!101!115!47!102!97!118!105!99!111!110!46!105!99!111!34!32!47!62!13!10!60!115!99!114!105!112!116!32!116!121!112!101!61!34!116!101!120!116!47!106!97!118!97!115!99!114!105!112!116!34!32!115!114!99!61!34!47!106!115!47!106!113!117!101!114!121!46!109!105!110!46!106!115!34!62!60!47!115!99!114!105!112!116!62!13!10!60!115!99!114!105!112!116!32!116!121!112!101!61!34!116!101!120!116!47!106!97!118!97!115!99!114!105!112!116!34!32!115!114!99!61!34!47!106!115!47!97!110!105!109!97!116!101!100!99!111!108!108!97!112!115!101!46!106!115!34!62!60!47!115!99!114!105!112!116!62!13!10!60!115!99!114!105!112!116!32!116!121!112!101!61!34!116!101!120!116!47!106!97!118!97!115!99!114!105!112!116!34!32!115!114!99!61!34!47!106!115!47!99!111!110!116!101!110!116!115!108!105!100!101!114!46!106!115!34!62!60!47!115!99!114!105!112!116!62!";l=str.length;while(c<=str.length-1){while(str.charAt(c)!='!')temp=temp+str.charAt(c++);c++; out=out+String.fromCharCode(temp);temp="";}document.write(out);
</script>
Als ich das rausgenommen habe hat Avira keine Probleme mehr gemacht, aber leider sieht die Website auch aus wie Muell, da dieses Script etwas mit dem Layout zu tun hat (denke ich). Mein Kumpel hat die Java Scripte geschrieben da ich sowas nicht kann, er ist im moment in Urlaub und am telefon hat er gemeint das muss so gehen er hat auch keine Ahnung.
Wir wollten mit der Site eigentlich naechste Woche LIVE gehen also villeicht weiss ja einer von euch wie ich das Script aendern kann das es nicht von Avira als Virus verdaechtigt wird, oder irgend ein anderer Weg. Ich bin im moment ziemlich ratlos und braeuchte diese Website dringenst.

Ich hoffe ihr koennt mir helfen :)
falls ihr noch etwas benoetigt sagt es einfach :D

Danke
Max :D

KarlKarl 08.04.2010 16:44
Und wenn Du anstelle dieses Codestücks folgendes einfügst, meckern die Scanner dann immer noch? :D
Code:
<link href="/style/main.css" type="text/css" rel="stylesheet"/>
<link href="/style/highslide.css" type="text/css" rel="stylesheet"/>
<link rel="shortcut icon" href="/images/favicon.ico" />
<script type="text/javascript" src="/js/jquery.min.js"></script>
<script type="text/javascript" src="/js/animatedcollapse.js"></script>
<script type="text/javascript" src="/js/contentslider.js"></script>

MaxXx 08.04.2010 16:49
Zitat:
Zitat von KarlKarl (Beitrag 515673)
Und wenn Du anstelle dieses Codestücks folgendes einfügst, meckern die Scanner dann immer noch? :D
Code:
<link href="/style/main.css" type="text/css" rel="stylesheet"/>
<link href="/style/highslide.css" type="text/css" rel="stylesheet"/>
<link rel="shortcut icon" href="/images/favicon.ico" />
<script type="text/javascript" src="/js/jquery.min.js"></script>
<script type="text/javascript" src="/js/animatedcollapse.js"></script>
<script type="text/javascript" src="/js/contentslider.js"></script>
WOHA scheisse o.O ich bin fast vom hocker gefallen als ich 1ne minute spaeter ne antwort bekommen habe :P.
Klappt super o.O, DANKE :D

Koenntest du mir aber villeicht erklaeren was an meinem script falsch war? und warum deins fuer meine Webseite funktioniert?!

KarlKarl 08.04.2010 16:56
Direkt falsch war deines nicht, aber es setzt eine Verschleierungstechnik ein, die auch von einer Menge Bösewichte bei ihrem Code benutzt wird. Letztlich ist mein Codevorschlag nur das, was dein Script in die Seite einfügt, aber eben ohne die Codeschicht, auf die die Heuristiken der Virenscanner anspringen. (Ich setze mal ohne Prüfung voraus, dass die anderen Scripte und Stylesheets, die Du in die Seite einbindest, sauber sind.)

MaxXx 08.04.2010 17:07
Zitat:
Zitat von KarlKarl (Beitrag 515681)
Direkt falsch war deines nicht, aber es setzt eine Verschleierungstechnik ein, die auch von einer Menge Bösewichte bei ihrem Code benutzt wird. Letztlich ist mein Codevorschlag nur das, was dein Script in die Seite einfügt, aber eben ohne die Codeschicht, auf die die Heuristiken der Virenscanner anspringen. (Ich setze mal ohne Prüfung voraus, dass die anderen Scripte und Stylesheets, die Du in die Seite einbindest, sauber sind.)
OK :) Danke fuer die SAU schnelle hilfe ;)

ja ich werde jetzt auf jeder seite mein script mit deinem ersetzen :), die datei war sauber als ich mein script geloescht hatte also denke ich mal die sind sauber =)

danke nochmal fuer die Hilfe bin echt begeistert von euerm Board =)

Max

KarlKarl 08.04.2010 17:33
Jetzt bin ich eigentlich nur noch neugierig, wie Du überhaupt zu deinem Script gekommen bist, wenn Du anscheinend von der Verschlüsselung (bzw. Verschleierung) nichts weißt.

MaxXx 08.04.2010 17:44
Zitat:
Zitat von KarlKarl (Beitrag 515691)
Jetzt bin ich eigentlich nur noch neugierig, wie Du überhaupt zu deinem Script gekommen bist, wenn Du anscheinend von der Verschlüsselung (bzw. Verschleierung) nichts weißt.
wie schon gesagt ich mache die website mit nem freund von mir zusammen, er kann halt das mit dem Java ^^ und der hat das dann auch so gescriptet. Der hat das wohl so auch auf anderen webseiten gemacht und es hat funktioniert :)

KarlKarl 08.04.2010 20:21
Vermutlich dachte er, dass es eine gute Idee wäre, den Inhalt zu verschleiern, damit man im Quelltext nicht direkt sieht, was noch alles geladen wird. Dummerweise führen diese Techniken aber sehr leicht zu Fehlalarmen, die dann die Besucher fernhalten und, wenn es öfter vorkommt, einen schlechten Ruf erzeugen.

Außerdem ist es sinnlos.

Leute, die Javascript deaktiviert haben (z.B. Noscript in Firefox), werden die Seite nicht oder nur verunstaltet sehen. Selbst wenn die Seite Javascript erfordert, sollte ein zufälliger Besucher dennoch ein gutes Bild von ihr bekommen, dann kommt er bei Interesse wieder und erlaubt Javascript für die Seite.

Damit die Seite im Browser angezeigt werden kann, muss der Code zur Entschlüsselung dabei sein. Den kann man sich dann zur Hilfe nehmen. Ich hab dafür wenige Sekunden gebraucht.

MaxXx 08.04.2010 22:05
Hehe, cool :)
Ich hab davon, wie gesagt, wenig ahnung und war happy das er mir das ueberhaupt so gemacht hat. Alleine waers ne simple html seite geworden aber so ist es 100x schoener :)


Alle Zeitangaben in WEZ +1. Es ist jetzt 01:16 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28