Virus.VBS.Crypt (Virus USB Raccourcis)

Suite des RATs VBS avec un cas sympa de Virus USB raccourcis sympa.
Les virus USB sont tombés, les cas traités sont souvent des personnes habitants des pays africains qui vont dans des Cyber.
Les antivirus ayant ajoutés toutes les détections qui vont bien. Parfois, une petite campagne pousse un peu quand un nouveau cryptor est utilisé, c’est le cas ici.
Dans un premier temps la clef de lancement du Virus USB USB raccourcis qui permet de charger , on peut voir l’extension vidéo .3gp.
ceci permet d’empécher le scan par des antivirus qui filtre sur les extensions.

HKU\S-1-5-21-95788182-3013049320-1661874615-1001\...\Run: [Format Factory] => Cmd.exe /c start WScript.exe
/e:VBScript.Encode C:\Users\anne-sophie\AppData\Roaming\Video.3gp

La détection est de toute façon mauvaise :

SHA256: 87794b47a262499a58c4949907cb8f917df72853e0f4b0b926892f6aad23b510
Nom du fichier : Video.3gp.xBAD
Ratio de détection : 4 / 56
Date d’analyse : 2016-04-05 18:25:33 UTC (il y a 0 minute)
Antivirus Résultat Mise à jour
AegisLab Worm.Script.Generic!c 20160405
Kaspersky HEUR:Worm.Script.Generic 20160405
Qihoo-360 virus.vbs.crypt.c 20160405
Sophos VBS/Agent-AQXW 20160405

Le fichier est offusqué (d’où la détection VBS Crypt)VBS_Autorun_crypt

En utilisant decoding-vbe, on obtient :

VBS_Autorun_decrypt_2

Chose amusant, le script sans le cryptage est moins bien détectée \o/

SHA256: 362bf5fb6929db23412e0848ad2fc3a39d2e18b8a2eb222f284162732c1f8641
Nom du fichier : test.vbs
Ratio de détection : 2 / 56
Date d’analyse : 2016-04-06 08:43:45 UTC (il y a 4 minutes)
Antivirus Résultat Mise à jour
AegisLab Troj.Script.Generic!c 20160406
Kaspersky HEUR:Trojan.Script.Generic 20160406
ALYac 20160406

En bidouillant, on obtient le code 2.VBS_Autorun_decrypt

On peut alors récupérer certains portions écrites, comme les adresses contactées, le fait ce malware chercher à tuer les processus USBFix, SMADAV etc.
Le malware énumère aussi les antivirus installés.

VBS_Autorun_crypt_kill_antivirus

sont présentes aussi les adresses contactées :

mr-wolf.redirectme.net:1104
mr-wolf.myq-see.com:1104
mr-wolf.linkpc.net:1104

Certains DNS sont down, les deux suivantes résolvent vers des ADSL Algériennes :

mr-wolf.redirectme.net has address 0.0.0.0
mr-wolf.myq-see.com has address 105.107.203.48
mr-wolf.linkpc.net has address 41.105.103.210

VBS_Autorun_crypt_connexion

J’ai envoyé le malware aux antivirus, les antivirus gratuits ne le bloquent pas.
Je vais suivre l’évolution des détections.

Côté désinfection, le programme Remediate VBS Worm Option A permet de désinfecter l’ordinateur.
L’Option B de nettoyer les médias amovibles.

Bref ces virus USB raccourcis sont encore actifs, cela montre une nouvelle fois pourquoi il faut filtrer les scripts malicieux : Comment se protéger des scripts malicieux sur Windows
Ce qui permet en plus de se protéger des campagnes d’emails malicieux poussant des ransomwaresJS/TrojanDownloader.Nemucod : Ransomware
Notamment notre programme Marmiton permet de faire cela :

et plus généralement pour sécuriser son ordinateur :  Comment sécuriser mon Windows

EDIT – et 2 jours après…

malgrè après avoir envoyé le script aux antivirus, la détection reste mauvaise…

SHA256: 87794b47a262499a58c4949907cb8f917df72853e0f4b0b926892f6aad23b510
Nom du fichier : 87794B47A262499A58C4949907CB8F917DF72853E0F4B0B926892F6AAD23B510.dat
Ratio de détection : 6 / 57
Date d’analyse : 2016-04-08 16:07:13 UTC (il y a 10 minutes)
Antivirus Résultat Mise à jour
AegisLab Worm.Script.Generic!c 20160408
Avast VBS:Malware-gen 20160408
Kaspersky HEUR:Worm.Script.Generic 20160408
Qihoo-360 virus.vbs.crypt.c 20160408
Sophos VBS/Agent-AQXW 20160408
Symantec VBS.Dunihi 20160408

Avast! le détecte en VBS:Malware-gen :

Avast_VBS_malware_gen

(Visité 2 181 fois, 3 visites ce jour)

Vous pouvez aussi lire...