Virus.VBS.Crypt (Virus USB Raccourcis)

Suite des RATs VBS avec un cas sympa de Virus USB raccourcis sympa.
Les virus USB sont tombés, les cas traités sont souvent des personnes habitants des pays africains qui vont dans des Cyber.
Les antivirus ayant ajoutés toutes les détections qui vont bien. Parfois, une petite campagne pousse un peu quand un nouveau cryptor est utilisé, c’est le cas ici.
Dans un premier temps la clef de lancement du Virus USB USB raccourcis qui permet de charger , on peut voir l’extension vidéo .3gp.
ceci permet d’empécher le scan par des antivirus qui filtre sur les extensions.

HKU\S-1-5-21-95788182-3013049320-1661874615-1001\...\Run: [Format Factory] => Cmd.exe /c start WScript.exe
/e:VBScript.Encode C:\Users\anne-sophie\AppData\Roaming\Video.3gp

La détection est de toute façon mauvaise :

SHA256:87794b47a262499a58c4949907cb8f917df72853e0f4b0b926892f6aad23b510
Nom du fichier :Video.3gp.xBAD
Ratio de détection :4 / 56
Date d’analyse :2016-04-05 18:25:33 UTC (il y a 0 minute)
AntivirusRésultatMise à jour
AegisLabWorm.Script.Generic!c20160405
KasperskyHEUR:Worm.Script.Generic20160405
Qihoo-360virus.vbs.crypt.c20160405
SophosVBS/Agent-AQXW20160405

Le fichier est offusqué (d’où la détection VBS Crypt)VBS_Autorun_crypt

En utilisant decoding-vbe, on obtient :

VBS_Autorun_decrypt_2

Chose amusant, le script sans le cryptage est moins bien détectée \o/

SHA256:362bf5fb6929db23412e0848ad2fc3a39d2e18b8a2eb222f284162732c1f8641
Nom du fichier :test.vbs
Ratio de détection :2 / 56
Date d’analyse :2016-04-06 08:43:45 UTC (il y a 4 minutes)
AntivirusRésultatMise à jour
AegisLabTroj.Script.Generic!c20160406
KasperskyHEUR:Trojan.Script.Generic20160406
ALYac20160406

En bidouillant, on obtient le code 2.VBS_Autorun_decrypt

On peut alors récupérer certains portions écrites, comme les adresses contactées, le fait ce malware chercher à tuer les processus USBFix, SMADAV etc.
Le malware énumère aussi les antivirus installés.

VBS_Autorun_crypt_kill_antivirus

sont présentes aussi les adresses contactées :

mr-wolf.redirectme.net:1104
mr-wolf.myq-see.com:1104
mr-wolf.linkpc.net:1104

Certains DNS sont down, les deux suivantes résolvent vers des ADSL Algériennes :

mr-wolf.redirectme.net has address 0.0.0.0
mr-wolf.myq-see.com has address 105.107.203.48
mr-wolf.linkpc.net has address 41.105.103.210

VBS_Autorun_crypt_connexion

J’ai envoyé le malware aux antivirus, les antivirus gratuits ne le bloquent pas.
Je vais suivre l’évolution des détections.

Côté désinfection, le programme Remediate VBS Worm Option A permet de désinfecter l’ordinateur.
L’Option B de nettoyer les médias amovibles.

Bref ces virus USB raccourcis sont encore actifs, cela montre une nouvelle fois pourquoi il faut filtrer les scripts malicieux : Comment se protéger des scripts malicieux sur Windows
Ce qui permet en plus de se protéger des campagnes d’emails malicieux poussant des ransomwaresJS/TrojanDownloader.Nemucod : Ransomware
Notamment notre programme Marmiton permet de faire cela :

et plus généralement pour sécuriser son ordinateur :  Comment sécuriser mon Windows

EDIT – et 2 jours après…

malgrè après avoir envoyé le script aux antivirus, la détection reste mauvaise…

SHA256:87794b47a262499a58c4949907cb8f917df72853e0f4b0b926892f6aad23b510
Nom du fichier :87794B47A262499A58C4949907CB8F917DF72853E0F4B0B926892F6AAD23B510.dat
Ratio de détection :6 / 57
Date d’analyse :2016-04-08 16:07:13 UTC (il y a 10 minutes)
AntivirusRésultatMise à jour
AegisLabWorm.Script.Generic!c20160408
AvastVBS:Malware-gen20160408
KasperskyHEUR:Worm.Script.Generic20160408
Qihoo-360virus.vbs.crypt.c20160408
SophosVBS/Agent-AQXW20160408
SymantecVBS.Dunihi20160408

Avast! le détecte en VBS:Malware-gen :

Avast_VBS_malware_gen

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 739 times, 2 visits today)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *