VisualBasic Was macht dieses Script? (Virus)

[xep22]

ich habe eine Spam-Mail mit einem vbs-Script als Anhang bekommen und dieses in einer VM mal angeschaut. Da stehen am Anfang aber nur irgendwelche Buchstaben getrennt von Kommas drin.

Kann mir jemand sagen was das machen soll ? Habs mal ausgeführt, es passiert nichts.

 

[burglar225]

Wie du siehst, ist das Script obfuscated, also unleserlich gemacht. Ohne eingehende Analyse kann man nicht sagen, was genau das Script tut, erst recht nicht mit nur ein paar Screenshots vom Quelltext.

 

[till69]

Das wird Dir nur der Schöpfer dieses Werkes sagen können

 

[easy.2ci]

Habs mal ausgeführt, es passiert nichts.

Hast du dabei die Registry und das Filesystem gemonitored?
Oder meinst du, es passiert nichts sichtbares auf der Oberfläche?

 

[xep22]

es passiert nichts sichtbares auf der Oberfläche. kenne mich mit so scripts auch gar nicht aus.

 

[robertsonson]

da u.a. ein merkmal von schadsoftware ist, dass nichts sichtbares auf der oberfläche passiert, kannst du zu 100% davon ausgehen dass deine VM nun mit was auch immer infiziert ist. ergo löschen und eine neue bauen, bitte.

 

[spcqike]

ergo löschen und eine neue bauen, bitte.

oder das Backup/Snapshot einspielen?

 

[Raijin]

kenne mich mit so scripts auch gar nicht aus.

Habs mal ausgeführt, es passiert nichts.

Versteh mich bitte nicht falsch, aber wie kommst du auf sowas?!? Du hast keine Ahnung was das macht, aber führst es mal eben aus. Ob VM oder nicht, Malware richtet nicht zwingend nur lokal Schaden an, sondern kann auch Netzwerkverbindungen checken und sich ggfs weiterverbreiten. Beispielsweise wenn du in der VM einen shared Folder mit dem Host hast oder die VM gar gebridged direkt in deinem Netzwerk hängt und zB Netzlaufwerke vom NAS eingebunden hat oder auch einen Netzwerkdrucker. Letztere stellen einen durchaus gängigen Angriffsvektor dar, weil sie schlicht und ergreifend so gut wie gar nicht gesichert sind. Es wäre ein leichtes, die Druckerliste abzufragen und ggfs Druckertyp xy anzugreifen. Auch der Router ist potentiell angreifbar.

Wenn man keine Ahnung von sowas hat, sollte man auch einfach die Finger davon lassen, weil du einfach nicht abschätzen kannst welche Teile des Betriebssystems oder gar des Netzwerks angreifbar sind und auch durch das Skript angegriffen werden. Du darfst dir das Skript vielleicht im Editor angucken, aber blind ausführen sollte man es auf keinen Fall.

Lösche daher bitte umgehend die VM oder spiel ggfs einen Snapshot vor deiner waghalsigen Aktion ein. Und lass in Zukunft die Finger von sowas. Spam-Mails einfach löschen, mit einem Klick, bumms, aus, Mickey Mouse.

 

[RalphS]

Da ist nichts obfuscated. Das ist einfach VBscript mit lustigen Bezeichnern und ohne unnötiges prettyprinting.

Ein bißchen sieht man schon: Es wird der Special Folder "2" angefragt. Da kann man selbst gucken mit Wscript, welcher das ist. Wenn ich das richtig sehe wird dort geprüft, ob eine bestimmte Datei dort existiert (sonst gibts interessanterweise eine Fehlermeldung). Wenn das mit dem Acrobat nicht nur zur Irreführung dient, KÖNNTE es was mit dem Aufbrechen von Schutzmechanismen dessen zu tun haben... muß aber natürlich nicht.

Screenshots helfen überhaupt nichts. Wenn, dann den Quellcode hier in Codetags, wobei ich nicht sicher bin wie gut das wäre, da es leider auch bei CB genug Vollpfosten gibt, die alles erstmal unqualifiziert in eine Datei kopieren und ausführen, egal was das ist --- und dann ist das Geschrei groß.

In jedem Fall: VM wegwerfen und neu bauen (oder den Snapshot zurückspielen). Eventuell, wenn das unter den Umständen möglich ist und Interesse besteht: VM vom Netzwerk trennen und einen AV-Scanner ("Schlangenöl") drauf loslassen. Es bleibt aber ein Restrisiko, falls irgendwo versucht werden sollte, aus konkret VMs auszubrechen.

 

[xep22]

keine sorge, ist eine Testumgebung VM die ich nach jedem start auf einen snapshot automatisch zurücksetze. Netzwerk habe ich vor dem Ausführen deaktiviert.