Werbe-Popup: Twitter Share Count schlägt zurück

Tweet Share Counts Script bringt Werbepopup

Wer seine Twitter-Shares zählen wollte, griff auf ein Script zurück – auf newsharecounts.s3-us-west-2.amazonaws.com/nsc.js. Aber was passiert, wenn so ein Script in die falschen Hände fällt? Ein Werbe-Popup mit Gewinnspiel übernimmt die Seite still und leise.

Irgendwann in den letzten Tagen ist das Script allem Anschein nach in die falschen Hände geraten. Jetzt beginnt das Script mit einem ausgesprochen verdächtigen

eval(function(p,a,c,k,e,r)

und greift in die History des Browsers ein.

Die Folge ist ein Gewinnspiel, das bei einem Klick auf den Zurück-Button der Seite eingreift, um ein Gewinnspiel einzuspielen, das sich nicht schließen lässt.

Pop-ip-Werbung

Das Script fanden wir in einer WordPress-Seite nach Hinweisen von aufmerksamen Benutzern. Das Plugin war längst gelöscht, aber es war wohl vor langer Zeit installiert worden, als das Script noch per Handarbeit in die header.php eingesetzt werden musste. Das Script blieb, weil es niemand mehr zuordnen konnte.

<script type="text/javascript" src="//newsharecounts.s3-us-west-2.amazonaws.com/nsc.js"></script>
<script type="text/javascript">window.newShareCountsAuto="smart";</script>

Ein Blick in das Script auf http://newsharecounts.s3-us-west-2.amazonaws.com/nsc.js sagt alles. Javascript eval() ist eine gefährliche Funktion, die den übergebenen String als Javascript-Code ausführt und ist ein typisches Anzeichen für einen böswilligen Eingriff. Besonders hinterhältig ist der Rückgriff auf den Zurück-Button (die Browser-History) nur von bestimmten Seiten aus, denn so bekommen der Administrator und die Autoren der Webseite das lauernde Popup kaum zu Gesicht.

eval ist nicht von Haus aus böse, aber der übergebene Sting ist gut geeignet, die Anweisungen zu verschleiern.

eval('al' + 'er' + 't(\'' + 'hi there!' + '\')');

Script löschen und gut ist – das Werbe-Popup ist weg. Nicht gut ist das Vertrauen in Plugins und Scripte, die heute gute Dienste leisten, und morgen zu einem einträglichen Geschäft für bösartige Werbung werden.