Heute kam der Trojaner Blackhole in einem neuen Gewand. From: HamzaKiewiet@t-arend.de To: <thomas@t-arend.de> Subject: Re: Changelog New Date: Fri, 30 Nov 2012 11:01:32 +0100 Good morning, changelog update – View I. LENTZ Die Obfuskierung ist nun etwas „komplexer“. Etwa jedes 8te Zeichen ist ein „=“. Dieses und das nachfolgende Zeichen werden ignoriert. Die aus zwei… Trojaner: Blackhole weiterlesen
Kategorie: Blackhole
Blackhole with new Obfuscation
[vgwort line=“80″ server=“vg08″ openid=“53a2f874bc98402495d2e659fd12c2d2″] In a former article I described a method to deobfuscate Blackhole obfuscated JavaScript with shell commands and two simple C-programs. Today I got a Blackhole Exploit Kit message which lead to a landing page – http://forumibiza.ru:8080/forum/links/column.php – with a new ( for me) – simpler – obfuscation. They didn’t insert random… Blackhole with new Obfuscation weiterlesen
Blackhole: Tarnt sich als Scan to E-Mail
[vgwort line=“76″ server=“vg08″ openid=“6ed0bbb400344018b7c1834b430fcb81″] Heute war nach Tagen der Ruhe ein Trojanisches Pferd des Blackhole Exploit Kit unterwegs. Der angeblich eingescannte Text ist eine HTML-Seite HP-Officejet-05569.htm, die direkt auf eine Landing Page umleitet. Und so sieht die Mail grundsätzlich aus.
How to deobfuscate Blackhole Java-Script
[vgwort line=“71″ server=“vg08″ openid=“fc30999c3de74f278c4b67b36475990e“] This article describes my investigations of the Java-Script obfuscation currently used by the Blackhole Exploit Kit. My intend was to write some smal scripts to automatically deobfuscate the Java-Script without using Java-Script itself. Using Java-Script with a little help would be an easy task because you only have to identify the… How to deobfuscate Blackhole Java-Script weiterlesen
Trojaner: Re: Wire Transfer Confirmation (FED REFERENCE xxxxx)
[vgwort line=“70″ server=“vg08″ openid=“b4cba78abe7143dca816742fe2b0641b“] Achtung: Maus weg vom Anhang! Diesmal kommt ein Trojaner in einem neuem Gewand mit einem HTML-Anhang. Dieser enthält ein verschleiertes Script, das auf eine Web-Seite umleitet. Von dieser wird wiederum eine Datei heruntergeladen, die wiederum ein verschleiertes Script enthält und nach der Dekodierung den Rechner auf Schwachstellen prüft. Letzteres Script trägt… Trojaner: Re: Wire Transfer Confirmation (FED REFERENCE xxxxx) weiterlesen
SPAM: Blackhole – Google Service has sent you a message: Welcome to the TOP of YouTube Users Rating
Ganz bestimmt nicht! Nicht an diese Adresse! Diese Mail Adresse ist auf Verdacht erzeugt. Diese Adresse wurde geraten. Die Spam Mail gehört dem ersten Anschein nach zum gleichen Typus wie die angebliche LinkedIn Invitation, hinter der das Blackhole Exploit Kit steht, wie ich seit gestern weiß. Während die erste Stufe der Umleitung noch funktioniert, meldet… SPAM: Blackhole – Google Service has sent you a message: Welcome to the TOP of YouTube Users Rating weiterlesen
SPAM: LinkedIn Invitaion
In diesem Artikel folge ich einer Verweiskette auf kompromittierte Server zu den Ursprüngen. Und analysiere die ersten Schritte eines verschleierten JavaScript, mit dem wahrscheinlich der Angriff erfolgt.