Online Sandbox - Registry Änderungen durch VBS entdecken

Dieses Thema Online Sandbox - Registry Änderungen durch VBS entdecken im Forum "Viren, Trojaner, Spyware etc." wurde erstellt von Chris09, 18. März 2011.

Thema: Online Sandbox - Registry Änderungen durch VBS entdecken Hallo, auf den Schulservern kursiert hartnäckig ein Wurm, der sich über USB-Sticks verbreitet. Es handelt sich um...

  1. Hallo,

    auf den Schulservern kursiert hartnäckig ein Wurm, der sich über USB-Sticks verbreitet. Es handelt sich um eine von den meisten AV-Programmen erkannte VBS.Agent Malware. Ich habe mir den Inhalt der vbs-Datei mal unausgeführt angesehen, ein bisschen rumgetüftelt und versuche nun zu lesen, was beim Ausführen so alles passiert. Der Virus ist aufgebaut nach einem einfachen System:

    In einem Array liegen die ASCI-Werte des Codes, und dieser wird dann zeichneweise zu einem dann ausgeführten String zusammengesetzt.
    Ich hab mir das Array mal in ein HTML-Dokument gepackt und alle Werte mit # und ; versehen, sodass im HTML-Dokument letztlich der an wscript.exe geschickte Quellcode steht. Leider ist vieles davon binär, sodass ich nichts verstehe. Der Quellcode sieht größtenteils so aus (das hier ist ein sehr kleiner Ausschnitt):

    [​IMG]

    Wie man sieht, ändert der Code auch etwas in der Registry (siehe HKCU; auch an hier nicht sichtbaren Stellen ersichtlich, z. B. REG_SZ lesbar). Kann ich diese .vbs Datei irgendwo online ausführen und mir die Registry-Änderungen anzeigen lassen? Ich hab schon mehrere Online Sandbox Projekte ausprobiert, allerdings können diese ja die .vbs Datei nicht ausführen. Kann ich die Änderungen also irgendwo analysieren lassen?

    Chris :)
     
  2. HKCU sehe ich auch aber REG_SZ nicht.

    pan_fee
     
  3. Hihi, du hast eigentlich genau den richtigen Teil zitiert, dir hätte auffallen müssen, dass das so stimmt :D Hab den betreffenden Teil nochmal rot gemacht.

    Nochmal die Erklärung:
    REG_SZ ist an mehreren Stellen des Quellcodes als Klartext lesbar. Da aber der Quellcode insgesamt zu lang ist, um ihn als Bild zu posten (denn das wäre ja dann riesig), habe ich nur - wie beschrieben - einen Ausschnitt abfotografiert um einen Eindruck zu geben. Jetzt möchte ich gern wissen, wo ich einen vbs Code auf seine Tätigkeit hin untersuchen kann. Die Schwierigkeit ist, dass die Online-Sandboxes die ich gefunden habe Executables ausführen können, aber nicht dazu in der Lage sind, Code zu testen den man erst an eine Executable schicken muss damit er ausgeführt wird, in diesem Falle wscript.exe.

    Gibt es also ein Sandbox-Tool, in dem man VB Scripts ausführen kann, um diese erstellen Einträge zu identifizieren?
     
Die Seite wird geladen...

Online Sandbox - Registry Änderungen durch VBS entdecken - Ähnliche Themen

Forum Datum
Online schoppen ? Sonstiges rund ums Internet 27. Nov. 2016
Lotto Chancen online ? Sonstiges rund ums Internet 2. Nov. 2016
Windows 10 und Onlineverbindung Windows 10 Forum 31. Juli 2015
Laptop Online - Internetexplorer Offline ? Windows 7 Forum 21. Juni 2015
E-Mails von T-Online Verschwinden und kann kein e-mail konto einrichten Sonstiges rund ums Internet 14. Nov. 2014