- #1
C
Chris09
Bekanntes Mitglied
Themenersteller
- Dabei seit
- 29.03.2009
- Beiträge
- 79
- Reaktionspunkte
- 0
Hallo,
auf den Schulservern kursiert hartnäckig ein Wurm, der sich über USB-Sticks verbreitet. Es handelt sich um eine von den meisten AV-Programmen erkannte VBS.Agent Malware. Ich habe mir den Inhalt der vbs-Datei mal unausgeführt angesehen, ein bisschen rumgetüftelt und versuche nun zu lesen, was beim Ausführen so alles passiert. Der Virus ist aufgebaut nach einem einfachen System:
In einem Array liegen die ASCI-Werte des Codes, und dieser wird dann zeichneweise zu einem dann ausgeführten String zusammengesetzt.
Ich hab mir das Array mal in ein HTML-Dokument gepackt und alle Werte mit # und ; versehen, sodass im HTML-Dokument letztlich der an wscript.exe geschickte Quellcode steht. Leider ist vieles davon binär, sodass ich nichts verstehe. Der Quellcode sieht größtenteils so aus (das hier ist ein sehr kleiner Ausschnitt):
Wie man sieht, ändert der Code auch etwas in der Registry (siehe HKCU; auch an hier nicht sichtbaren Stellen ersichtlich, z. B. REG_SZ lesbar). Kann ich diese .vbs Datei irgendwo online ausführen und mir die Registry-Änderungen anzeigen lassen? Ich hab schon mehrere Online Sandbox Projekte ausprobiert, allerdings können diese ja die .vbs Datei nicht ausführen. Kann ich die Änderungen also irgendwo analysieren lassen?
Chris
auf den Schulservern kursiert hartnäckig ein Wurm, der sich über USB-Sticks verbreitet. Es handelt sich um eine von den meisten AV-Programmen erkannte VBS.Agent Malware. Ich habe mir den Inhalt der vbs-Datei mal unausgeführt angesehen, ein bisschen rumgetüftelt und versuche nun zu lesen, was beim Ausführen so alles passiert. Der Virus ist aufgebaut nach einem einfachen System:
In einem Array liegen die ASCI-Werte des Codes, und dieser wird dann zeichneweise zu einem dann ausgeführten String zusammengesetzt.
Ich hab mir das Array mal in ein HTML-Dokument gepackt und alle Werte mit # und ; versehen, sodass im HTML-Dokument letztlich der an wscript.exe geschickte Quellcode steht. Leider ist vieles davon binär, sodass ich nichts verstehe. Der Quellcode sieht größtenteils so aus (das hier ist ein sehr kleiner Ausschnitt):
Wie man sieht, ändert der Code auch etwas in der Registry (siehe HKCU; auch an hier nicht sichtbaren Stellen ersichtlich, z. B. REG_SZ lesbar). Kann ich diese .vbs Datei irgendwo online ausführen und mir die Registry-Änderungen anzeigen lassen? Ich hab schon mehrere Online Sandbox Projekte ausprobiert, allerdings können diese ja die .vbs Datei nicht ausführen. Kann ich die Änderungen also irgendwo analysieren lassen?
Chris
