Around January 18th, 2010 some bl00dy cracker attacked my website ta-deti.de. He implanted
malcode at the end of every index*.html he could find. Some virus scanners knew this
code as Trojan.Malscript.B and sounded alarm (f.e. Symantec EndProtection FKA Norton Antivirus and McAfee), some didn't
(f.e. Avira Antivir Personal - free antivirus). The idea of Trojan.Malscript.B is to redirect the browser to some other malicious website,
that may exploit the browser or download other malicious threats. This is accomplished by a Javascript script added
to the end of any index*.html that could be found, stepping down the directory tree of the website.
Symantec cried out, when opening the site with Internet Explorer 8. When
opening it with Firefox 3.5.7, nothing happened, i.e., neither the browser has been redirected, nor
Symantec cried. Seems like Firefox 3.5.7 blocks code like this.
Avira Antivir Personal - free antivirus didn't notice anything. Internet Explorer 6 was redirected to
some site. To be honest - I don't know, which one it was. I immediately stopped Internet Explorer. The only thing I know is,
that it had to do something with Amazon, even if I don't believe, that the target was the genuine Amazon site.
I'll try to find it out again on a Unix system.
If you're interested in learning what happened to my index.html - here is
the code I found in my documents. Pretty scared, eh? Don't worry - it's a pdf document, so the trojan
won't do you any harm. Also I modified the code a bit, so that it won't work; in case somebody should have
the idea to use it ... ;-D
So um den 18. Januar 2010 hat ein verd@mmter Cracker meine Website ta-deti.de attackiert. Er fügte am Ende
jeder index.html, die er fand, einen Schadcode ein. Einige Virenscanner erkannten diesen Code als
Trojan.Malscript.B und schlugen Alarm (z.B. Symantec EndProtection FKA Norton Antivirus und McAfee), andere
erkannten den Code nicht (z.B. Avira Antivir Personal - free antivirus). Die Idee, die hinter Trojan.Malscript.B
steckt, ist, den Browser zu einer anderen, Schadcode enthaltenden Website umzuleiten, die entweder Browser-Daten
auswertet oder Schadcode auf dem eigenen Computer installiert. Dies wird erreicht, indem ein Stück
Javascript am Ende jeder index*.html installiert wird, wobei auch der Verzeichnisbaum der Website durchlaufen wird.
Symantec hat Alarm geschlagen, wenn meine Site mit Internet Explorer 8 geöffnet wurde. Wurde sie
mit Firefox 3.5.7 geöffnet, geschah nichts. Weder wurde der Browser umgeleitet, noch hat Symantec
geschrieen. Sieht so aus, als Firefox 3.5.7 diesen Code blockt.
Avira Antivir Personal - free antivirus hat nichts gemerkt. Internet Explorer 6 wurde auf eine Website umgeleitet,
allerdings weiß ich nicht, wie ich zugeben muss, auf welche. Ich stoppte den IE sofort, kann mich aber daran erinnern,
dass es irgendwas mit Amazon zu tun hatte - obwohl ich nicht glaube, dass es die echte Amazon-Seite war. Ich werde versuchen,
das mal auf einer Unix-Box herauszufinden.
Wenn Du daran interessiert bist, was man meinen index.html angetan hat - hier ist der Schadcode.
Schon ganz nett, 'ne? Keine Angst - der tut nichts, der ist in einem pdf-Dokument eingesperrt. Außerdem habe ich den
Code etwas verändert, so dass er nicht mehr laufen wird - nur für den Fall, dass jemand auf die Idee kommen sollte,
den zu benutzen ... ;-D