Agent.a病毒分析
样本信息
MD5:78a0e123da2a2555f830cb880293c10d
样本概述
该病毒是一个通过可移动磁盘传播的远控病毒。其感染主机后会分别将自身拷贝到自启目录和临时目录,并添加自启以实现持久化。其在运行后会连接http://shabh.no-ip.biz:1975/is-ready上传主机信息和接收控制指令,并在主机使用可移动磁盘时感染可移动磁盘。
行为概述
注册表行为
1,分别在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run创建
键:文件名 值:wscript.exe /B "%Temp%\文件名.vbs,用于自启。
2,在HKEY_LOCAL_MACHINE\software\创建键:文件名 值:true\false-日期,用于记录是否是可移动磁盘感染。
文件行为
1,当自身不是在%temp%目录下运行时,将自身复制到%temp%目录下并运行。
进程行为
1,当自身不是在%temp%目录下运行时,则使用wscript.exe运行位于%temp%目录下的自身。
网络行为
1,连接shabh.no-ip.biz上传主机信息,接收控制指令等。
详细分析
1,病毒母体是一个经过base64加密的VBS脚本,其进行解密后运行。
base64解密(python)
import base64
import os
string1 = "Jw==1PA==1Ww==1IA==1"
string2 = string1.split("1")
path = os.getcwd();
path = path + "\\result.txt"
fp = open(path,"w")
for string3 in string2:
string_temp = base64.b64decode(string3).decode("utf-8")
fp.write(string_temp)
fp.close()
2,其运行后会首先将自身拷贝到自启目录和%temp%目录中,其中临时文件夹中的文件被添加自启。
添加自启的位置
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键:文件名,值:wscript.exe /B “C:\Users\sam\AppData\Local\Temp\文件名.vbs”
并会判断自身是否是在临时文件夹下运行,如果不是则启动临时文件加下的病毒,退出自身。
3,检测主机有无使用可移动磁盘,如果有则将病毒自身拷贝到可移动磁盘的根目录,并为其设置快捷方式,而且还会为可移动中的每个文件夹都设置一个快捷方式,每个快捷方式都指向病毒文件。
为每个文件夹都设置快捷方式,且每个快捷方式都指向病毒文件。
4,连接http://shabh.no-ip.biz:1975/is-ready,将收集到的主机信息发送给它,并请求控制指令。
5,根据控制指令做出相应的动作。
包括运行文件,更新,卸载等。