Schadcode in HTML-Datei?

[gadon]

Hi,
ich hab auf einigen HTML-Seiten eines neuen "Kunden" Javascript gefunden das mir doch recht merkwürdig aussieht, leider reichen meine fähigkeiten nicht aus um zu erkennen was das script genau macht.

*Code entfernt*

 

[ice-breaker]

Also der Code ist erstmal obfuscated, welches die Analyse relativ komplex macht.

Interessant ist jedoch, dass der Code ein unsichtbares Iframe mit der URL https://onion.c0m.li/iframe.php?id=v4pfa24nw91yhoszkdmoh413ywv6cp7 erzeugt, welches darauhin wieder ein Bild mit der URL https://d6.ca.bc.a1.top.mail.ru/cou...true;s=1280*1024;d=24;rand=0.3503767558959705 einbindet.

Da ich den Code auf jsfiddle ausprobiert habe und die URL wieder auftaucht, sieht es nach einer Art Tracking-Iframe aus.
Da dies allerdings in einem misteriösen JavaScript-Code aus einem iframe aus einer sehr dubiosen Quellen kommt, bezweifele ich mal sehr stark, dass der Code da wirklich hingehört.

 

[gadon]

Hab mir sowas schon gedacht nachdem ich: document.fromCharCode gesehen habe...

Danke für deine Hilfe.

 

[tobomator]

hast du dir mal das Bild im HEX Editor angeschaut, wenn es nicht groß ist ?
Würde mich ja mal interessieren, ob nochmehr Code ausgeführt (was nachgeladen wird)...

Aber wirklich haben will ich den Code dann auch nicht haben.
Schön ist dafür z.Bsp. ein php-Script, welches einfach nur den Quellcode von einer Seite lädt.
Dann kann den ja in Ruhe analysieren und weitere Aufrufe starten, wenn man URL's hat...
So habe ich immer mal rückverfolgt, was da auf mich zugekommen wäre.

 

[LasMiranda]

Code entfernt, schade.

Dieses c0m.li sieht nach Ranking-Faker bei mail.ru aus.

 

[ice-breaker]

hast du dir mal das Bild im HEX Editor angeschaut, wenn es nicht groß ist ?
Würde mich ja mal interessieren, ob nochmehr Code ausgeführt (was nachgeladen wird)...

wozu? Ein Bild ist ein Bild, das kann nicht dynamisch Code nachladen