Patrick Guenther: SPAM mit <script>: Was passiert?

Beitrag lesen

SELF-Forum

SPAM mit <script>: Was passiert?

Patrick Guenther
Informationen zu den Bewertungsregeln

Hallo!

Ich habe heute versehentlich eine unerwünschte Mail (I miss you von brandylovesyou@...) im Vorschaufenster des Netscape-Communicators (4.73 deutsch) geöffnet und mir danach den Quelltext angesehen. Die Mail ist frei von lesbaren Inhalten, normalerweise würde man sie also wohl löschen. Folgender Code war aber im Quellcode zu finden:

<script>
function Ikloy( s ) { var sRet=""; for(j=0; j< s.length; j++ ){ var n= s.charCodeAt(j); if (n>=8364) {n = 128;} sRet += String.fromCharCode( n - 3 ); } return( sRet ); }
var sJsCmds ="" +
"?KWPOA?KHDGA?WLWOHA?2WLWOHA?2KHDGA?ERG|#ejfroru@%&IIIIII%A?wdeoh#erughu@%3%#zlgwk@%:8(%#ejfroru@%&339999%#fhoovsdflqj@%9%#doljq@%FHQWHU%A##?wuA####?wgA######?wdeoh#erughu@%3%#zlgwk@%:8(%#ejfroru@%&333333%#doljq@%FHQWHU%A########?wuA###########?wgA#############?sA)qevs>?2sA############?xoA##############?olA?irqw#froru@%&IIIIII%AOlyh#Rqh#Rq#Rqh#Fdpv#?2irqwA?2olA##############?olA?irqw#froru@%&IIIIII%A533#Wkhdwhuv#ZLWK#VRXQG#?2irqwA?2olA##############?olA?irqw#froru@%&IIIIII%ARyhu#93/333#Wkxpeqdlohg#[[[#Slfwxuhv#Olyh#################Zhe#Fdpv#?2irqwA?2olA##############?olA?irqw#froru@%&IIIIII%A833#Jluo#Vwuhdp#Ylghrv#?2irqwA?2olA##############?olA?irqw#froru@%&IIIIII%A833#Olyh#Vwuls#Vkrzv#zlwk#Fkdw#Uhdo#Dxglr#################?2irqwA?2olA##############?olA?irqw#froru@%&IIIIII%A[[[#Vwrulhv#?2irqwA?2olA##############?olA?irqw#froru@%&IIIIII%ADgxow#Jdphv?2irqwA?2olA##############?olA?irqw#froru@%&IIIIII%AIuhh#Fdvlqr#Jdphv?2irqwA?2olA############?2xoA##########?2wgA########?2wuA########?wuA###########?wgA#############?wdeoh#erughu@%3%#zlgwk@%;:(%#doljq@%FHQWHU%#ejfroru@%&333333%A##############?wuA#################?wgA#?lpj#vuf@%kwws=225361;<14<614742(:Hdiilo7<;42dg51msj%#zlgwk@%898%#khljkw@%53:%A?2wgA##############?2wuA############?2wdeohA##########?2wgA########?2wuA########?wuA###########?wgA#############?wdeoh#erughu@%3%#zlgwk@%74(%#doljq@%FHQWHU%A##############?wuA#################?wkA###################?irupA####################?lqsxw#w|sh@%EXWWRQ%#ydoxh@%Folfn#khuh#Iru#Lpphgldwh#Dffhvv#$%#rqfolfn@%zlqgrz1rshq+*kwws=22vhfxuh1leloo1frp2fjl0zlq2ffdug2uvfrrnlh1h{hBUhyVkduhLG@d4545})uhwxuqwr@kwws=22333333336461333333334641333333336341333333334:32wudfn2fjl0elq2oqnlqowh1fjlBo@diilonz7<;4*/#*Vdpsoh*/#*wrroedu@qr/orfdwlrq@qr/gluhfwrulhv@qr/vwdwxv@qr/phqxedu@qr/vfurooeduv@|hv/uhvl}deoh@qr/frs|klvwru|@qr/ixoovfuhhq*,%#qdph@%EXWWRQ%A##################?2irupA################?2wkA##############?2wuA############?2wdeohA############?xoA##############?olA#################?gly#doljq@%FHQWHU%A################?2glyA##############?2olA##############?olA#################?gly#doljq@%FHQWHU%A##################?irqw#froru@%&IIIIII%ARqolqh#Dgxow#Vh{#Jdphv#[[[#?2irqwA#################?2glyA##############?2olA##############?olA#################?gly#doljq@%FHQWHU%A##################?irqw#froru@%&IIIIII%ASruq#Pdjd}lqh#?2irqwA#################?2glyA##############?2olA##############?olA#################?gly#doljq@%FHQWHU%A##################?irqw#froru@%&IIIIII%AH{foxvlyh$#7/333#Vl}}olqj#Olyh#Ylghr#Ihhgv?2irqwA#################?2glyA##############?2olA##############?olA#################?gly#doljq@%FHQWHU%A##################?irqw#froru@%&IIIIII%A8/333#Hurwlf#[[[#Vwrulhv#?2irqwA#################?2glyA##############?2olA##############?olA#################?gly#doljq@%FHQWHU%A##################?irqw#froru@%&IIIIII%A4333#Qhz#Slfwxuhv#dgghg#Gdlo|#?2irqwA#################?2glyA##############?2olA############?2xoA##########?2wgA########?2wuA######?2wdeohA####?2wgA##?2wuA?2wdeohA?2ERG|A?2KWPOA" +
"";
var s= Ikloy( sJsCmds);
document.write (s);
</script>

Was macht das mistige Teil? Kann man das irgendwie entschlüsseln??? Als ich den Communicator eben geschlossen habe, ging kurz ein Fenster mit Fortschrittsanzeige auf (konnte nur "Communicator aktualisiert..." lesen, dann war es wieder zu), was mich etwas beunruhigt hat.

Ich habe mit Google nach ein paar Stichworten gesucht aber keine Infos zu solchen Mails/Scripts gefunden. Hoffentlich kann mich hier jemand beruhigen, daß diese Mail in meiner Registry keinen Unfug anstellt, oder mich bei irgendeinem Spammer validiert...

mfg

Patrick Guenther

Antworten bitte an Patrick Punkt Guenther At Web Punkt De ;)

Beitrag melden
Informationen zu den Bewertungsregeln