« RAT » par VBS (VBS.Houdini – Worm:VBS/Jenxcus / Worm.VBS.Dunihi)

EDIT  – Un dossier concernant ce type de malwares : http://forum.malekal.com/malware-par-vbs-wsh-t51355.html

Reçu deux fois la semaine dernière, deux scripts VBS similaires.

http://pjjoint.malekal.com/files.php?read=20130709_l6d5n12w7v12
http://pjjoint.malekal.com/files.php?read=20130709_5z10d14o14q5

La détection :

https://www.virustotal.com/fr/file/6246f45f2df9004f15a98928efdd0618c105e320a130367bc034b1ce5c864d60/analysis/1373365509/

SHA256: 6246f45f2df9004f15a98928efdd0618c105e320a130367bc034b1ce5c864d60
Nom du fichier : result.vbs
Ratio de détection : 2 / 47
Date d’analyse : 2013-07-09 10:25:09 UTC (il y a 0 minute)

https://www.virustotal.com/fr/file/8f86cbdb4cf52efca32281dea4a4b4e237e7f83551138c1630ad04f6c6e6a00e/analysis/1373365517/

SHA256: 8f86cbdb4cf52efca32281dea4a4b4e237e7f83551138c1630ad04f6c6e6a00e
Nom du fichier : W.vbs
Ratio de détection : 6 / 47
Date d’analyse : 2013-07-09 10:25:17 UTC (il y a 0 minute)

 

Décodé on obtient le même script : http://pjjoint.malekal.com/files.php?read=20130707_14p13l11h12r6
https://www.virustotal.com/fr/file/68832b776c5d80e1ab32d663073fbcd972894445ff546da2fb0dbce737aa8284/analysis/1373365950

SHA256: 68832b776c5d80e1ab32d663073fbcd972894445ff546da2fb0dbce737aa8284
Nom du fichier : script_decoded.vbs
Ratio de détection : 7 / 47
Date d’analyse : 2013-07-09 10:32:30 UTC (il y a 0 minute)

Agnitum HTML.Psyme.Gen 20130708
Avast VBS:Agent-APX [Trj] 20130709
AVG JS/Heur 20130709
CAT-QuickHeal VBS.SsiWg 20130708
ESET-NOD32 VBS/Agent.NDO 20130709
Kaspersky Trojan.Script.Suspic.gen 20130709
Rising Trojan.Script.VBS.Runner.ai 20130709

Ce dernier se copie dans %TEMP% et dans le dossier de démarrage.
Si on supprime un des deux, il est recréé à l’execution du script.

VBS_RAT2

VBS_RAT

Le malware fait un POST afin d’envoyer des informations au serveur :

T 192.168.1.12:1529 -> 41.230.249.113:1644 [AP]
POST /is-ready HTTP/1.1..Accept: */*..Accept-Language: fr..User-Agent: 4063B68D<|>MAKKK<|>Mak<|>Microsoft Windows XP Professionnel<|>bac<|>nan-av<|>false..Accept-Encoding: gzip, deflate..Host: diiimaria.zap
to.org:1644..Content-Length: 0..Connection: Keep-Alive..Cache-Control: no-cache….

Notamment l’antivirus installé (récupéré par le site de sécurité).
Le malware est aussi capable de télécharger un fichier sur ordre.

Le script tente de simuler les malware de type RAT (Remote Accesss Tools) – se reporter à la page : http://www.malekal.com/2011/06/29/rat-bifrose-botnet-pour-les-nuls/

Les VBS en RAT sont relativements courant (autre exemple : http://pjjoint.malekal.com/files.php?read=20130709_h5l13s9o5g13 ) – ils tournent sur les sites underground, les personnes sans connaissances particulières les réutilisent, parfois, certains tente d’offusquer le contenu afin de bypasser les détections antivirus.

Les VBS sont relativements courants, quelques autres exemples :

EDIT 30 Juillet

http://malwaredb.malekal.com/index.php?hash=5e769079ea3d8434d05b4e61ac0012ca

https://www.virustotal.com/fr/file/33c437f19eb50b3ed3438c41a03d00c90a7b16e8d9c9060f2190524f1506cd5a/analysis/1375197381/

SHA256: 33c437f19eb50b3ed3438c41a03d00c90a7b16e8d9c9060f2190524f1506cd5a
Nom du fichier : updat.vbs
Ratio de détection : 1 / 46
Date d’analyse : 2013-07-30 15:16:21 UTC (il y a 6 minutes)

Kaspersky      HEUR:Worm.Script.Generic      20130730

 

celui ci est encodé deux fois :

VBS_mal
Décode – On obtient :
VBS_mal2
Pour finir par le même malware :
VBS_mal3

EDITION 02/90 – Trojan.Clicker par VBS

Autre exemple, avec des .vbe chiffrés – ce dernier se propage par des tchats sur Skype :

SHA256: 59e7040e806dcec8da93705475846452439078dc52620ccf583cabc3b891970d
Nom du fichier : ringtone.mp3 Ratio de détection : 1 / 46
Date d’analyse : 2013-09-02 14:31:03 UTC (il y a 0 minute) https://www.virustotal.com/fr/file/59e7040e806dcec8da93705475846452439078dc52620ccf583cabc3b891970d/analysis/1378132263/

SHA256: 58eb9493ba3abe28dbcba2a807842134e68b9feb5b8abd3462e07a0aa6838bb3
Nom du fichier : metal.mp3
Ratio de détection : 2 / 47
Date d’analyse : 2013-09-02 14:31:11
UTC (il y a 0 minute) https://www.virustotal.com/fr/file/58eb9493ba3abe28dbcba2a807842134e68b9feb5b8abd3462e07a0aa6838bb3/analysis/1378132271/

Sample : http://malwaredb.malekal.com/index.php?hash=708606aa8c64dfc22f5c493ec4fbfada

Un trojan clicker qui va sur des liens adf.ly : RAT_payload3 RAT_payload2 Cela va aussi sur des liens ruedelactu.blogspot.com : RAT_payload Le script charge d’autre .vbe dont un kill des antivirus et autres fix : RAT_keeper Un des scripts se charger d’aller chercher les autres scripts : RAT_loader

EDIT Novembre 6

Depuis plusieurs semaines, pas mal de poussé sur les infections par VBS.Autorun sur les forums de désinfection.

VBS_Autoruns VBS_Autoruns2
Comme les malwares classiques (PE32) des crypters sont utilisés pour cacher le code de ces deux variantes afin d’échapper aux détections des antivirus.
Les détections sont de types Worm:VBS/Jenxcus / Worm.VBS.Dunihi

Exemple ci-desssous – au départ, avec la version cryptée : https://www.virustotal.com/en/file/0cef07837ffc4df27078fc4042f9c31922c9b1c9f23fbe12fad4a306e5505bd0/analysis/1383740247/

SHA256: 0cef07837ffc4df27078fc4042f9c31922c9b1c9f23fbe12fad4a306e5505bd0
File name: bla.vbs
Detection ratio: 12 / 47
Analysis date: 2013-11-06 12:17:27 UTC ( 1 minute ago )

Antiy-AVL 20131101
Avast VBS:Downloader-JN [Trj] 20131106
BitDefender Worm.VBS.Dunihi.AB 20131106
Emsisoft Worm.VBS.Dunihi.AB (B) 20131106
F-Secure Worm.VBS.Dunihi.AB 20131106
GData Worm.VBS.Dunihi.AB 20131106
K7AntiVirus NetWorm 20131105
K7GW NetWorm 20131105
Kaspersky Worm.VBS.Dinihou.g 20131106
McAfee VBS/Autorun.worm.aapd 20131106
McAfee-GW-Edition VBS/Autorun.worm.aapd 20131105
MicroWorld-eScan Worm.VBS.Dunihi.AB 20131106
nProtect Worm.VBS.Dunihi.AB 20131106

VBS_Autoruns3

Au final, on obtient le code de VBS.HoudiniWorm:VBS/Jenxcus / Worm.VBS.Dunihi : http://pjjoint.malekal.com/files.php?read=20131106_l14y11w5w9z12

https://www.virustotal.com/en/file/6d6502e6d3ab0857ab21e9322c3cf4ce382592b12d0485d4aba3eeb7641a5b91/analysis/1383739053/

On gagne (ou plutôt perd) 6 antivirus :

SHA256: 6d6502e6d3ab0857ab21e9322c3cf4ce382592b12d0485d4aba3eeb7641a5b91
File name: blabla.vbs
Detection ratio: 19 / 47
Analysis date: 2013-11-06 11:57:33 UTC ( 0 minutes ago )

Agnitum HTML.Psyme.Gen 20131105
Avast VBS:Downloader-JL [Trj] 20131106
BitDefender Worm.VBS.Dunihi.B 20131106
CAT-QuickHeal VBS/HBraker.NO 20131106
DrWeb VBS.Siggen.7442 20131106
Emsisoft Worm.VBS.Dunihi.B (B) 20131106
ESET-NOD32 VBS/Agent.NDH 20131106
F-Secure Worm.VBS.Dunihi.B 20131106
GData Worm.VBS.Dunihi.B 20131106
Ikarus Virus.VBS.Downloader 20131106
Kaspersky Worm.VBS.Dinihou.a 20131106
Microsoft Worm:VBS/Jenxcus.BC 20131106
MicroWorld-eScan Worm.VBS.Dunihi.B 20131106
NANO-Antivirus Trojan.Script.Hworm.cbxvbd 20131106
nProtect Worm.VBS.Dunihi.B 20131106
Rising Trojan.Script.VBS.Runner.ai 20131106
VIPRE Worm.VBS.Jenxcus.ah (v) 20131106

VBS_Autoruns4

Dans les trucs originaux, on trouve des vbs de 60Mo.

VBS_Autoruns5

Ces derniers sont bourrés de retours chariots et lignes, ce qui fait gonfler la taille du fichier.
Le but étant, en autre, que le fichier ne soit pas remontés par les clients antivirus aux laboratoires.
VBS_Autoruns6
Un coup de sed permet de récupérer le code, ce qui réduit fortement la taille du fichier.
Notez la variable vntm en français 🙂
VBS_Autoruns7

Pour décoder les VBS (ce n’est pas hyper compliqué), vous pouvez vous inspirer de post : http://forum.malekal.com/vbs-rat-scripting-decoded-encoded-obfsucated-script-t45387.html

Le concept d’USBFix par son outils récupère ces scripts.
J’ai pu recenser les DNS utilisés, que j’ai transmis aux abuses.
No-ip en a déjà fermé quelque uns.

Une très grande partie des DNS pointent vers des IPs du maghreb.

hussamhack.no-ip.biz has address 109.74.46.240
adda.no-ip.org has address 0.0.0.0
avg-antivirus.zapto.org has address 0.0.0.0
bambino2011.zapto.org has address 197.3.193.205
bg1337.zapto.org has address 94.96.55.156
coobra.zapto.org has address 178.77.157.248
cupidon.zapto.org has address 0.0.0.0
desermyth.dyndns.org has address 37.104.200.199
dz-drs.no-ip.biz has address 0.0.0.0
dzhacker15.no-ip.org has address 41.100.177.163
earthlinktele.servegame.com has address 37.236.178.37
Host flash.servehttp.com not found: 3(NXDOMAIN)
ghoost-souf.no-ip.org has address 41.100.93.67
hacker0021.no-ip.biz has address 41.102.247.202
hadizz.no-ip.biz has address 0.0.0.0
hgulh.no-ip.com has address 2.89.221.30
hllll.no-ip.biz has address 79.173.229.147
http-server.sytes.net has address 197.205.225.55
introworld.zapto.org has address 0.0.0.0
karimstar.zapto.org has address 0.0.0.0
khdt1.zapto.org has address 0.0.0.0
lolokamal.zapto.org has address 185.4.87.33
mda.no-ip.org has address 41.131.250.207
medoutil.zapto.org has address 105.129.10.240
memo9.no-ip.org has address 31.9.31.245
microsoftsystem.sytes.net has address 0.0.0.0
microsoftwindows.sytes.net has address 0.0.0.0
mimi06.zapto.org has address 41.97.83.99
mlkm33.no-ip.biz has address 0.0.0.0
monas04.no-ip.info has address 41.98.28.229
mootje01.no-ip.org has address 41.142.191.142
nouna1985.no-ip.org has address 0.0.0.0
nouna1985.no-ip.org mail is handled by 5 nouna1985.no-ip.org.
o44b.zapto.org has address 188.121.238.55
pilo-raouf.no-ip.biz has address 197.207.183.89
playgame.servecounterstrike.com has address 0.0.0.0
Host raouf.no-ip.biz not found: 3(NXDOMAIN)
riadhkr.no-ip.biz has address 41.226.109.89
servecounterstrike.servecounterstrike.com has address 86.73.237.149
server.sytes.net has address 184.72.88.178
sidisalim.myvnc.com has address 89.129.163.209
smoky29902332.hopto.org has address 37.237.151.20
souf.no-ip.org has address 197.207.167.96
terminator9.zapto.org has address 41.97.238.183
xdz.no-ip.org has address 0.0.0.0
xkiller.no-ip.info has address 82.102.239.75
yah00.sytes.net has address 92.253.33.47
youne7s.no-ip.biz has address 0.0.0.0

Spéciale dédicasse pour servecounterstrike.servecounterstrike.com / playgame.servecounterstrike.com qui pointe vers une IP SFR (86.73.237.149).
L’abuse de SFR a été notifié 😉

EDIT – Malwares VBS

Un dossier concernant ce type de malwares : http://forum.malekal.com/malware-par-vbs-wsh-t51355.html

EDIT – Avril 2016 – autre cas de VBS Worm

Autre cas mal détecté de Virus.VBS.Crypt (Virus USB Raccourcis)
et notre dossier Comment se protéger des scripts malicieux sur Windows

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 556 times, 2 visits today)

One thought on “« RAT » par VBS (VBS.Houdini – Worm:VBS/Jenxcus / Worm.VBS.Dunihi)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *