Nickles › Forum › Internet › Viren, Spyware, Datenschutz

Viren, Spyware, Datenschutz 11.214 Themen, 94.187 Beiträge

Wie ist die URL?

torsten40 am 24.08.2013, 16:52 / 8 Antworten / Flachansicht

Hi,
ich hab eine *.jar decompeliert, und guck jetzt einwenig in den Code herum.
Dabei ist mir die URL aufgefallen.
Bei der URL bin ich jetzt bei

http://
neposopuhote.redirectment
:83
/service/index.php

Wie setzt sich das ganze zusammen?

Danke
###

this.session = ("" + System.currentTimeMillis());
    this.domain = "n"; this.serviceUrl = "h"; this.domain += "e"; this.domain += "p"; this.serviceUrl += "t"; this.domain += "o";
    this.domain += "s"; this.domain += "o"; this.domain += "p"; this.domain += "u"; this.serviceUrl += "t"; this.domain += "h"; this.domain += "o"; this.domain += "t";
    this.domain += "e";
    this.domain += ".";
    this.domain += "r";
    this.serviceUrl += "p";
    this.domain += "e";
    this.domain += "d";
    this.domain += "i";
    this.pwd = this.number;
    this.pwd += "d";
    this.domain += "r";
    this.serviceUrl += ":";
    this.domain += "e";
    this.domain += "c";
    this.pwd += "w";
    this.usr = "u";
    this.domain += "t";
    this.domain += "m";
    this.domain += "e";
    this.usr += "s";
    this.serviceUrl += "/"; this.domain += ".";
    this.serviceUrl += "/";
    this.domain += "n";
    this.domain += "e";
    this.domain += "t";
    this.serviceUrl += this.domain;
    this.serviceUrl += ":";
    this.serviceUrl += "8"; this.serviceUrl += "3"; this.serviceUrl += "/";
    this.serviceUrl += "s";
    this.serviceUrl += "e";
    this.serviceUrl += "r";
    this.usr += "r";
    this.serviceUrl += "v";
    this.serviceUrl += "i";
    this.serviceUrl += "c";
    this.serviceUrl += "e";
    this.serviceUrl += "/";
    this.serviceUrl += "i";
    this.serviceUrl += "n";
    this.serviceUrl += "d";
    this.serviceUrl += "e";
    this.serviceUrl += "x";
    this.serviceUrl += ".";
    this.serviceUrl += "p";
    this.serviceUrl += "h";
    this.serviceUrl += "p";
    this.pwd += "p";
    this.usr += this.number;

Das Ding ist in Viren usw, weils in einem "Facebook Trojaner" ist

        Borlander torsten40 „Wie ist die URL?“
      
        25.08.2013, 15:03 Optionen
      
          redirectment
        
          redirect.net anschsonetn scheint die URL aber zu passen. Wird halt recht aufwändig Stück für Stück zusammengebastelt und normalerweise würde man dafür vielleicht auch schon die StringBuilder-Klasse verwenden.
        
          Man könnte das nun zunächst einmal durch zusammenfassen der direkt aufeinanderfolgenden Operationen auf dem selben String vereinfachen:
        
        this.session = ("" + System.currentTimeMillis());

                this.domain = "n";

                this.serviceUrl = "h";

                this.domain += "ep";

                this.serviceUrl += "t";

                this.domain += "osopu";

                this.serviceUrl += "t";

                this.domain += "hote.r";

                this.serviceUrl += "p";

                this.domain += "edi";

                this.pwd = this.number;

                this.pwd += "d";

                this.domain += "r";

                this.serviceUrl += ":";

                this.domain += "ec";

                this.pwd += "w";

                this.usr = "u";

                this.domain += "tme";

                this.usr += "s";

                this.serviceUrl += "/";

                this.domain += ".";

                this.serviceUrl += "/";

                this.domain += "net";

                this.serviceUrl += this.domain;

                this.serviceUrl += ":83/ser";

                this.usr += "r";

                this.serviceUrl += "vice/index.php";

                this.pwd += "p";

                this.usr += this.number;
          Und umsortieren unter Beachten der Abhängigkeiten zwischen den Strings (der kritische Fall ist oben fett hervorgehoben):
        
        this.session = ("" + System.currentTimeMillis());

                this.domain = "n";

                this.domain += "ep";

                this.domain += "osopu";

                this.domain += "hote.r";

                this.domain += "edi";

                this.domain += "r";

                this.domain += "ec";

                this.domain += "tme";

                this.domain += ".";

                this.domain += "net"; //ACHTUNG: hiernach wird in serviceUrl kopiert

                this.serviceUrl = "h";

                this.serviceUrl += "t";

                this.serviceUrl += "t";

                this.serviceUrl += "p";

                this.serviceUrl += ":";

                this.serviceUrl += "/";

                this.serviceUrl += "/";

                this.serviceUrl += this.domain;

                this.serviceUrl += ":83/ser";

                this.serviceUrl += "vice/index.php";

                this.pwd = this.number;

                this.pwd += "d";

                this.pwd += "w";

                this.usr = "u";

                this.usr += "s";

                this.usr += "r";

                this.pwd += "p";

                this.usr += this.number;    

          Mit finalem Zusammenfassen kommt man dann schließlich auf diesen Code:
        
        this.session = ("" + System.currentTimeMillis());

                this.domain = "neposopuhote.redirectme.net";

                this.serviceUrl = "http://" + this.domain + ":83/service/index.php";

                this.pwd = this.number + "dwp";

                this.usr = "usr" + this.number;
          Wenn man faul ist und bereits durch scharfes hinsehen erkannt hat, dass dieser Code hier nichts böse tut kann man den auch mal laufen lassen:
        
public class Evil {

            private String session;

            private String domain;

            private String serviceUrl;

            private String number = "{number}";

            private String pwd;

            private String usr;

            public static void main(String[] args) {

                Evil x = new Evil();

                x.gen();

                x.show();

            }

            /**

             * Böse Strings erzeugen

             */

            private void gen() {

                // hier den Code zur String-Erzeugung einfügen

            }

            /**

             * Böse Strings auf Standardausgabe anzeigen

             */

            private void show() {

                System.out.println("session:    " + this.session);

                System.out.println("domain:     " + this.domain);

                System.out.println("serviceURL: " + this.serviceUrl);

                System.out.println("number:     " + this.number);

                System.out.println("pwd:        " + this.pwd);

                System.out.println("usr:        " + this.usr);

            }

        }

          Gruß

          Borlander
        
             bei Antwort benachrichtigen
        
      Da hatte ich wohl n dreher in der URL. Mittlerweile ist die ... torsten40 25.08.2013, 15:45
    
      Dir ist aber schon klar, dass das zum einen bei einem nicht ... Borlander 25.08.2013, 19:04
    
      irgendwo hin verbindet sich jeder Trojaner. Dann wusste der ... torsten40 25.08.2013, 19:18
    
      Nicht jede Schadsoftware ist in Java implementiert und hat ... Borlander 25.08.2013, 19:31
    
      nun ... der downlink zu dieser Datei verbreitete sich über ... torsten40 25.08.2013, 20:01
    
      lokaler Rechner? Die einzige Herausforderung ist da die ... Borlander 25.08.2013, 21:51
    
      privater Rechner Richtig, dass ist aber eher seltener torsten40 25.08.2013, 23:10