Seit ein paar Minuten kommt bei einer Google-Suche mit IE6 noch ein zweites Fenster von CoolWebSearch. Habt ihr das auch?

Das schein ein ganz hartnäckiger zu sein: http://www.spywareinfo.com/articles/cws/. Naja. Hab das Image von gestern wieder eingespielt. Jetzt ist er weg.

Hab mittlerweile auf http://www.spywareinfo.com/forums herausgefunden, dass man sich den Trojaner durch Surfen (z.B. auf h**p://www.m*xpages/kingarthur) einfangen kann. Hab es mal ausprobiert. Es funktioniert. Webseite, Popup, fertig. Keine Abfrage, keine Installation, nichts.

Musste halt das Image wieder herhalten.

puh, scheinbar nur ie ;)

Nettes Progrämchen. Da bin ich doch froh Mozilla zu benutzen und nicht mehr den IE (was natürlich nicht heissen soll, dass Mozilla nicht davon betroffen sein könnte, aber es ist doch unwahrscheinlicher)

Aqua

So. Wir haben mal das ganze mit Lynx runtergeladen. So wie es aussieht, basiert der Trojaner auf einer Mischung aus Java-Script und Stylesheet. Es wird kein ActiveX verwendet. Also Vorsicht: Möglicherweise sind auch andere Browser außer IE betroffen.

Original geschrieben von stabilo_boss13
So. Wir haben mal das ganze mit Lynx runtergeladen. So wie es aussieht, basiert der Trojaner auf einer Mischung aus Java-Script und Stylesheet. Es wird kein ActiveX verwendet. Also Vorsicht: Möglicherweise sind auch andere Browser außer IE betroffen.
:o du stehst drauf, einem den tag kaputt zu machen, ja ??

thx for the info ;)

Original geschrieben von stabilo_boss13
So. Wir haben mal das ganze mit Lynx runtergeladen. So wie es aussieht, basiert der Trojaner auf einer Mischung aus Java-Script und Stylesheet. Es wird kein ActiveX verwendet. Also Vorsicht: Möglicherweise sind auch andere Browser außer IE betroffen.

Hat das Popup bei euch auch auf http://*.gator.com/* verwiesen?

Scheint also (mal wieder) Gator dahinterzustecken.

In Mozilla hab ich nix bemerkt, aber das muss definitiv ne Sicherheitslücke sein, da man ja mit Javascript normal keinen direkten Schreibzugriff erhält. Bei Mozilla lassen sich zwar die XPIs über Javascript installieren, aber da wird man auch immmer gefragt.

Kannst du vielleicht mal den Quellcode des Popups posten? Dabei dürfte ja nix passieren (auch wenn man das beim IE nie wirklich weiß...)

Aqua

Original geschrieben von Aqualon
Hat das Popup bei euch auch auf http://*.gator.com/* verwiesen?
Scheint also (mal wieder) Gator dahinterzustecken.Bingo:

var URL = "http://webpdp.gator.com/v3/webpdp_v3_detect.php?yic=HIC_MAXPAGESUS";
window.open(URL, 'gatorWin','width=250,height=250,left=' + pos_left + ',top=' + pos_top);
In Mozilla hab ich nix bemerkt, aber das muss definitiv ne Sicherheitslücke sein, da man ja mit Javascript normal keinen direkten Schreibzugriff erhält. Bei Mozilla lassen sich zwar die XPIs über Javascript installieren, aber da wird man auch immmer gefragt.

Kannst du vielleicht mal den Quellcode des Popups posten? Dabei dürfte ja nix passieren (auch wenn man das beim IE nie wirklich weiß...)

Aqua Den Quellcode poste ich mal lieber nicht. Aber wen es interessiert, kann ja einfach Lynx von (http://lynx.browser.org/) runterladen und den Code damit holen.

Klar ist das eine Sicherheitslücke im IE, aber das Stylesheet wird möglicherweise ja auch von anderen Browsern heruntergeladen. In Mozilla usw. passiert damit gar nichts. Aber was geschieht, wenn man (aus welchen Gründen auch immer) auf dem Rechner dann den Internet Explorer startet? Das Stylesheet befindet sich dann ja schon auf dem PC.

Original geschrieben von Kurgan
:o du stehst drauf, einem den tag kaputt zu machen, ja ?? :D

Irgendwie kann ich da nix wirklich gefährliches entdecken.

Die PHP-Datei, die die JS-Funktion gotoWebPDP aufruft, enthält selbst wieder nur harmlose Javascript-Funktionen und den Aufruf eines Webbug 1px GIFs.

Kann natürlich sein, dass dahinter ein ActiveX-Controls steckt, das nen Trojaner installiert.

Aqua

Original geschrieben von Aqualon
Irgendwie kann ich da nix wirklich gefährliches entdecken.

Die PHP-Datei, die die JS-Funktion gotoWebPDP aufruft, enthält selbst wieder nur harmlose Javascript-Funktionen und den Aufruf eines Webbug 1px GIFs.

Kann natürlich sein, dass dahinter ein ActiveX-Controls steckt, das nen Trojaner installiert.

Aqua Nein, nein! Der Trojaner wird nicht über das Codefragment installiert. Das öffnet nur das Gator Popupfenster.

Der ganze Code steckt voll mit Adware, Werbung, Countern, Votings usw. Gator ist nur einer von vielen. Interessant sind eigentlich die Teile, die mit Hilfe von Javascript neue Seiten erzeugen, die wiederum erzeugten Javascriptcode enthalten. Funktionen, die kreuz und quer andere Funktionen aufrufen. Sehr undurchsichtig das Ganze.

Hier ein paar Beispiele:
<center><iframe src="http://leader.linkexchange.com/X329125/showiframe?" width=468 height=60
document.write('<iframe src="http://servedby.valuead.com/code?
w('<a href="http://www' + bn + '.bannerspace.com/asp/gosite.asp?MID=11616" target=_blank><img src="http://www' + bn + '.bannerspace.com/asp/getban.asp?MID=11616&id=80381457" width=468 height=60 border=0></a>');
</script><NOSCRIPT><A HREF="http://web1.realtracker.com/netpoll/stat.asp?id=&use

Es könnte aber auch das Laden eines Wavefiles sein:

<embed name=maxmusic mastersound src="http://www.moviesounds.com/omega/riseup.wav" hidden=true width=1 height=1 autostart=true loop=true>

Wenn ich das auf Spywareinfo richtig verstanden habe, wird ein Stylesheet heruntergeladen und mit Hilfe von Javascript und einer Sicherheitslücke im IE dieses Stylesheet als Standardstylesheet installiert. Dieses Stylesheet enthält wiederum Javascript. Wenn man jetzt den IE startet, wird das Standardstylesheet geladen und ausgeführt. Da es lokal ist, kann es eigentlich alles machen. So wird z.B. CoolW*bSearch in die Liste der vertrauenswürdigen Seiten eingetragen. Und ab diesem Zeitpunkt kann CoolW*bSearch auf dem Rechner eigentlich machen, was es will.

Hmm, ich lese nur "iframe" ... obwohl das Problem ja auch ausnahmsweise mal woanders liegen könnte ...

Welche Artvon StyleSheets meinst du?

Was IE-spezifisches nehme ich an. CSS enthalten schließlich kein JS.

mmm...

Gibs dagegen ein Programm ??? Ad-Aware wird es zur Zeit nicht erkennen oder ?

Original geschrieben von Lokadamus
mmm...

Gibs dagegen ein Programm ??? Ad-Aware wird es zur Zeit nicht erkennen oder ? Hier http://www.spywareinfo.com/articles/cws/ steht, wie man den wieder los wird.

Original geschrieben von ..,-
Hmm, ich lese nur "iframe" ... obwohl das Problem ja auch ausnahmsweise mal woanders liegen könnte ...

Welche Artvon StyleSheets meinst du?

Was IE-spezifisches nehme ich an. CSS enthalten schließlich kein JS. Der Code hat hunderte von Zeilen. Ich hab nur exemplarisch ein paar Stellen rauskopiert.

Scheint so zu arbeiten wie der Datanotary Hijack. Die Infos über die CSS und Javascript hab ich von hier: http://www.spywareinfo.com/articles/datanotary/

Zitat: The hijack is accomplished by inserting javascript into a Cascading Style Sheet (CSS) file, then hijacking Internet Explorer's accessibility options to force it to use that style sheet. When activated, the javascript makes use of an obscure and proprietary Microsoft CSS extension to create the pop up window.

Oh, diese Option, alle Web-Seiten nicht nur mit selbstgewählten Farben, sondern gleich mit einem kompletten Style-Sheet zu formatieren, war mir tatsächlich noch nie aufgefallen. Allerdings finde ich sie auch ziemlich nutzlos, der einzige halbwegs vernünftige Anwendungsfall, den ich mir vorstellen könnte, wären Benutzer mit Behinderungen.

Aber auch dann bleibt mir ziemlich unverständlich, warum MS in einem solchen lokalen Style-Sheet die Ausführung von JScript überhaupt zulässt. Auch ohne Sicherheitsloch ein Feature, dass die Welt nicht braucht.

Hätte sich MS mal ausnahmsweise nur an einer Stelle an offene Standards gehalten, anstatt proprietäre Erweiterungen zu stricken, hätten sie sich dieses Problem vermutlich nicht eingehandelt. Naja, wenigstens gut, wenn man's weiß, auch wenn bei mir der IE privat überhaupt nicht mehr eingesetzt wird.