Suite des RATs VBS avec un cas sympa de Virus USB raccourcis sympa.
Les virus USB sont tombés, les cas traités sont souvent des personnes habitants des pays africains qui vont dans des Cyber.
Les antivirus ayant ajoutés toutes les détections qui vont bien. Parfois, une petite campagne pousse un peu quand un nouveau cryptor est utilisé, c’est le cas ici.
Dans un premier temps la clef de lancement du Virus USB USB raccourcis qui permet de charger , on peut voir l’extension vidéo .3gp.
ceci permet d’empécher le scan par des antivirus qui filtre sur les extensions.
HKU\S-1-5-21-95788182-3013049320-1661874615-1001\...\Run: [Format Factory] => Cmd.exe /c start WScript.exe
/e:VBScript.Encode C:\Users\anne-sophie\AppData\Roaming\Video.3gp
La détection est de toute façon mauvaise :
SHA256: | 87794b47a262499a58c4949907cb8f917df72853e0f4b0b926892f6aad23b510 |
Nom du fichier : | Video.3gp.xBAD |
Ratio de détection : | 4 / 56 |
Date d’analyse : | 2016-04-05 18:25:33 UTC (il y a 0 minute) |
Antivirus | Résultat | Mise à jour |
---|---|---|
AegisLab | Worm.Script.Generic!c | 20160405 |
Kaspersky | HEUR:Worm.Script.Generic | 20160405 |
Qihoo-360 | virus.vbs.crypt.c | 20160405 |
Sophos | VBS/Agent-AQXW | 20160405 |
Le fichier est offusqué (d’où la détection VBS Crypt)
En utilisant decoding-vbe, on obtient :
Chose amusant, le script sans le cryptage est moins bien détectée \o/
SHA256: | 362bf5fb6929db23412e0848ad2fc3a39d2e18b8a2eb222f284162732c1f8641 |
Nom du fichier : | test.vbs |
Ratio de détection : | 2 / 56 |
Date d’analyse : | 2016-04-06 08:43:45 UTC (il y a 4 minutes) |
Antivirus | Résultat | Mise à jour |
---|---|---|
AegisLab | Troj.Script.Generic!c | 20160406 |
Kaspersky | HEUR:Trojan.Script.Generic | 20160406 |
ALYac | 20160406 |
En bidouillant, on obtient le code 2.
On peut alors récupérer certains portions écrites, comme les adresses contactées, le fait ce malware chercher à tuer les processus USBFix, SMADAV etc.
Le malware énumère aussi les antivirus installés.
sont présentes aussi les adresses contactées :
mr-wolf.redirectme.net:1104
mr-wolf.myq-see.com:1104
mr-wolf.linkpc.net:1104
Certains DNS sont down, les deux suivantes résolvent vers des ADSL Algériennes :
mr-wolf.redirectme.net has address 0.0.0.0 mr-wolf.myq-see.com has address 105.107.203.48 mr-wolf.linkpc.net has address 41.105.103.210
J’ai envoyé le malware aux antivirus, les antivirus gratuits ne le bloquent pas.
Je vais suivre l’évolution des détections.
Côté désinfection, le programme Remediate VBS Worm Option A permet de désinfecter l’ordinateur.
L’Option B de nettoyer les médias amovibles.
Bref ces virus USB raccourcis sont encore actifs, cela montre une nouvelle fois pourquoi il faut filtrer les scripts malicieux : Comment se protéger des scripts malicieux sur Windows
Ce qui permet en plus de se protéger des campagnes d’emails malicieux poussant des ransomwares : JS/TrojanDownloader.Nemucod : Ransomware
Notamment notre programme Marmiton permet de faire cela :
et plus généralement pour sécuriser son ordinateur : Comment sécuriser mon Windows
EDIT – et 2 jours après…
malgrè après avoir envoyé le script aux antivirus, la détection reste mauvaise…
SHA256: | 87794b47a262499a58c4949907cb8f917df72853e0f4b0b926892f6aad23b510 |
Nom du fichier : | 87794B47A262499A58C4949907CB8F917D F72853E0F4B0B926892F6AAD23B510.dat |
Ratio de détection : | 6 / 57 |
Date d’analyse : | 2016-04-08 16:07:13 UTC (il y a 10 minutes) |
Antivirus | Résultat | Mise à jour |
---|---|---|
AegisLab | Worm.Script.Generic!c | 20160408 |
Avast | VBS:Malware-gen | 20160408 |
Kaspersky | HEUR:Worm.Script.Generic | 20160408 |
Qihoo-360 | virus.vbs.crypt.c | 20160408 |
Sophos | VBS/Agent-AQXW | 20160408 |
Symantec | VBS.Dunihi | 20160408 |
Avast! le détecte en VBS:Malware-gen :