Agent.a病毒分析

样本信息

MD5:78a0e123da2a2555f830cb880293c10d

样本概述

该病毒是一个通过可移动磁盘传播的远控病毒。其感染主机后会分别将自身拷贝到自启目录和临时目录,并添加自启以实现持久化。其在运行后会连接http://shabh.no-ip.biz:1975/is-ready上传主机信息和接收控制指令,并在主机使用可移动磁盘时感染可移动磁盘。

行为概述

注册表行为

1,分别在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run创建
键:文件名 值:wscript.exe /B "%Temp%\文件名.vbs,用于自启。
2,在HKEY_LOCAL_MACHINE\software\创建键:文件名 值:true\false-日期,用于记录是否是可移动磁盘感染。

文件行为

1,当自身不是在%temp%目录下运行时,将自身复制到%temp%目录下并运行。

进程行为

1,当自身不是在%temp%目录下运行时,则使用wscript.exe运行位于%temp%目录下的自身。

网络行为

1,连接shabh.no-ip.biz上传主机信息,接收控制指令等。

详细分析

1,病毒母体是一个经过base64加密的VBS脚本,其进行解密后运行。

base64解密(python)

import base64
import osstring1 = "Jw==1PA==1Ww==1IA==1"
string2 = string1.split("1")path  = os.getcwd();
path  = path + "\\result.txt"fp = open(path,"w")for string3 in string2:string_temp = base64.b64decode(string3).decode("utf-8")fp.write(string_temp) fp.close()

2,其运行后会首先将自身拷贝到自启目录和%temp%目录中,其中临时文件夹中的文件被添加自启。

添加自启的位置
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键:文件名,值:wscript.exe /B “C:\Users\sam\AppData\Local\Temp\文件名.vbs”
并会判断自身是否是在临时文件夹下运行,如果不是则启动临时文件加下的病毒,退出自身。

3,检测主机有无使用可移动磁盘,如果有则将病毒自身拷贝到可移动磁盘的根目录,并为其设置快捷方式,而且还会为可移动中的每个文件夹都设置一个快捷方式,每个快捷方式都指向病毒文件。

为每个文件夹都设置快捷方式,且每个快捷方式都指向病毒文件。

4,连接http://shabh.no-ip.biz:1975/is-ready,将收集到的主机信息发送给它,并请求控制指令。

5,根据控制指令做出相应的动作。
包括运行文件,更新,卸载等。

VBS写成的远控病毒分析相关推荐

  1. H-WORM家族远控木马分析与处置

    病毒背景 H-WORM作者ID为Houdini,使用VBS编写以实现远控蠕虫功能,能够通过感染U盘传播,出现的时间最早可以追溯到2013年7月.因为其简洁有效的远控功能.非PE脚本易于免杀.便于修改等 ...

  2. 移花接木大法:新型“白利用”华晨远控木马分析

    360安全卫士 · 2015/05/28 5:11 0x00 前言 "白利用"是木马对抗主动防御类软件的一种常用手法.国内较早一批"白利用"木马是通过系统文件r ...

  3. 一款远控木马分析,仅供学习思路用途

    最近一段时间在面试病毒相关岗位,有的公司会电话.远程面试询问相关知识,有的则会直接发送病毒样本要求分析,写出分析报告.下面要分析的就是面试过程中的某个样本,整理成文,发表出来,供大家参考学习,一起进步 ...

  4. “大灰狼”远控木马分析及幕后真凶调查

    9月初360安全团队披露bt天堂网站挂马事件,该网站被利用IE神洞CVE-2014-6332挂马,如果用户没有打补丁或开启安全软件防护,电脑会自动下载执行大灰狼远控木马程序. 鉴于bt天堂电影下载网站 ...

  5. BT天堂网站挂马事件后续:“大灰狼”远控木马分析及幕后真凶调查

    9月初安全团队披露bt天堂网站挂马事件,该网站被利用IE神洞CVE-2014-6332挂马,如果用户没有打补丁或开启安全软件防护,电脑会自动下载执行大灰狼远控木马程序. 鉴于bt天堂电影下载网站访问量 ...

  6. 简单实用远控小工具Todesk

    前言 之前写过anydesk远控,然后在一次测试中,在客户那边看到一个远控软件–Todesk,然后就去官网下载下来研究了一下. 准备工作 在开始测试之前先查看官方文档. 支持静默安装 可设置安全密码 ...

  7. 自己开发的安卓,电脑远控

    自己写的电脑远控(兼容win8,10,11等全版本win),安卓手机远控(兼容到android 12)稳定运行

  8. 【木马分析】远控盗号木马伪装成850Game作恶

    很喜欢配图 前言 近期,360QVM团队捕获到一类在网上广泛传播的远控盗号木马,该木马伪装为正规棋牌游戏850Game的安装程序,在伪造的钓鱼网站(如:www.gam850.com)上挂马并诱骗用户下 ...

  9. linux常用免杀,【kali linux】详细分析两个免杀远控 了解远控和免杀原理

    该楼层疑似违规已被系统折叠 隐藏此楼查看此楼 Hi 大家好 我是杰爱蓝莓 今天起跟大家从源代码分析两个免杀的远控 让大家能够了解远控程序的原理,以及免杀技术实现的一些原理 两个远控 1:用Python ...

最新文章

  1. OpenCV+python:读取图片和视频详细信息
  2. 腾讯,百度,网易游戏,华为笔面经验
  3. 数据操纵语言(DML)
  4. 为什么做技术 PM 这么难?
  5. 马斯克脑机接口_马斯克的脑机接口,让我倍感担忧
  6. c# char unsigned_c – unsigned char和char指针之间的区别
  7. leetcode27 移除元素
  8. 空间数据引擎oracle_空间数据库oracle
  9. 微信公众号用到的网站
  10. Java面试基础篇-Redis缓存
  11. office+visio2016版本一同安装说明
  12. 三津谈保险系统建设:序言
  13. 禁用360浏览器自动填充用户数据
  14. Python和Java哪个好学?
  15. 乐视2 pro2 IMAX手机root权限 刷rece 解锁 刷系统等
  16. benson邀请您访问互助联盟建站之家
  17. 【AE扩展插件问题解决记录】
  18. 2021.2.15-2.22 人工智能行业每周技术动态
  19. linux软硬件系统观察,Linux系统在信息社会的发展
  20. 阿里云RDSDRDS初探

热门文章

  1. python量化交易策略实例_python量化交易策略入门(一):MACD的威力
  2. 监控FTP服务状态,并自动重启servU
  3. powerdesigner错误提示实体属性名称唯一性_WPS导致加载DLL错误的解决方案
  4. 图形学基础 (二)关于旋转
  5. 决策树与K-近邻分类随堂笔记(二)
  6. composer 设置版本号_Composer 版本约束表达式的使用
  7. 哲理故事与管理之道 10 -你还在崇拜交付速度吗
  8. 记账的优缺点分析 聊聊记账这些事
  9. com.alibaba.dubbo.rpc.RpcException: No provider available from registry 127.0.0.1:2181 for..
  10. 嵌入式项目管理学习——001重点明确和心态转换