VORSICHT VIRUS: Autoit Script

02/21/2014 05:16 uragan#1
Hallo

Habe einen Virus gefunden, der mit autoIt gebastelt wurde.
Ich bin mir sicher, dass hier viele den dreck decompilen können.
Könnte ich bitte per PM den SourceCode haben.

Ich möchte wissen, was dieses sch.. tool bei mir am Rechner angerichtet hat

Eins habe ich schon gefunden, dass Registrie eintrag mit Ordneroptionen HIDE eingetragen worden ist.

Danke

PS: es langen auch angaben, was dieses tool genau macht, wenn der gedanke auftaucht, dass ich es weiter verbreitern wolle.
02/21/2014 07:30 alpines#2
Wenn ich die entpacke dann wird mir keine Datei angezeigt (auch nicht als versteckt), obwohl sie mit _FileListToArray sichtbar ist.
02/21/2014 12:23 Shadow992#3
Quote:
Originally Posted by uragan View Post
Hallo

Habe einen Virus gefunden, der mit autoIt gebastelt wurde.
Ich bin mir sicher, dass hier viele den dreck decompilen können.
Könnte ich bitte per PM den SourceCode haben.

Ich möchte wissen, was dieses sch.. tool bei mir am Rechner angerichtet hat

Eins habe ich schon gefunden, dass Registrie eintrag mit Ordneroptionen HIDE eingetragen worden ist.

Danke

PS: es langen auch angaben, was dieses tool genau macht, wenn der gedanke auftaucht, dass ich es weiter verbreitern wolle.
Was macht dich da so sicher, dass das ein Virus ist?
Laut Anubis ist das Ding recht harmlos:
[Only registered and activated users can see links. Click Here To Register...]

Habe es auch in die Sandbox gehauen und es ebenso versucht zu decompilen aber es war nicht einfach so dekompilierbar und beim kurzen drüber schauen sieht das nicht so aus als wäre es eine "normale" AutoIt-Datei.

Für mich sieht das mehr wie der AutoIt-Interpret mit Fetsner aus, denn die Datei, die ich ausgewählt habe wurde dann auch tatsächlich ausgeführt.

Garantieren kann ich dir also nichts für mich sieht das aber nicht gefährlich aus, vorallem weil es nichts im Autostart o.ä. verändert.

Edit:
Auch Virustotal findet die Datei nicht gefährlich:
[Only registered and activated users can see links. Click Here To Register...]
02/21/2014 15:54 uragan#4
Quote:
Was macht dich da so sicher, dass das ein Virus ist?
- Die Datei ist dauerhaft versteckt
- ändert Registry einträge
- lag als Systemdatei in %APPDATA%
- wird beim WIN - Start vom vbs gestartet

denk das langt, um zu denken dass es ein virus ist
02/21/2014 16:01 th0rex#5
Aber wenn du keinen Source davon hast und es noch nicht reverst hast, wieso bist du dir so sicher, dass es das Programm ist ? Kann ja sein, dass du von wo anders nen Virus hast o:. Starte das Programm doch einfach in einer VM und reverse es da.
02/21/2014 18:41 Shadow992#6
Quote:
Originally Posted by uragan View Post
- Die Datei ist dauerhaft versteckt
- ändert Registry einträge
- lag als Systemdatei in %APPDATA%
- wird beim WIN - Start vom vbs gestartet

denk das langt, um zu denken dass es ein virus ist
@Ändert Registry
Jop aber die Änderungen sind in keinsterweise gefährlich, also ist das kein Argument.

@%APPDATA% und versteckt
Wenn es wirklich der AutoIt-Interpret ist und man ihn mitgeliefert hat, weil er Skripte, die von irgendwo heruntergeladen werden, ausführt, würde ich diese Datei auch versteckt in nem unwichtigen Ordner hauen, weil die Datei ja keinen stören soll.

@Win-Start
Hier ist doch der Hund begraben!
Wenn es nämlich tatsächlich der AutoIt-Interpret ist (und so sieht es zu 95% aus), dann ist es viel wichtiger was dieses VBS-Skript für Dateien als Parameter übergibt. Du solltest dann also den Virus in den Dateien suchen und nicht im AutoIt-Interpret.
Aber die Dateien wirst du wohl nicht einfach so finden, da sie (wenn es sich um einen Virus handelt) nur temporär gespeichert werden und relativ schnell wieder gelöscht werden.

Also schau dir einmal die Dateien an, die das vbs als Parameter übergibt.