MS Windows 利用 wscript 啟動的隨身碟病毒之解法

若在 Windows 環境下,隨身碟突然出現 _ 的資料夾,並且資料全隱藏,只發現 .lnk 或是 USB DISK.lnk (ps. ${Device_name} )之捷徑檔,此時使用者要注意已經中了利用 VB scripts 做成的隨身碟病毒了。

主機中毒狀態:
利用 taskmgr.exe 開啟工作管理員,會發現有兩個 wscript.exe執行中,
主要是執行 C:\>%USERPROFILE%\AppData\Roaming\WindowsServices (就是User個人資料夾內的隱藏資料夾 Roaming) 內的
helper.vbs 
installer.vbs
此感染路徑與一般感染 Local 隱藏資料夾不同。
故先從 taskmgr.exe 管理內,先停止所有 wscript.exe的執行,接著試著刪除上述資料夾內的 helper.vbs 與 installer.vbs。
再使用 msconfig.exe 介面,來觀察開機啟動載入的程式,可以看到會有 helper.vbs ,在開機時就被載入,路徑位置為 C:\>%USERPROFILE%\AppData\Roaming\WindowsServices
先取消勾選,來停止開機載入執行之行為。
重開機後,再利用 taskmgr.exe 檢測是否有wscript.exe執行。

隨身碟已中毒之處理方面:
利用其他Linux live cd 或是 window PE,可以發現隨身碟內有 .lnk 等檔案,並且包含 WindowsServices 資料夾,資料夾內有
helper.vbs
installer.vbs
movemenoreg.vbs
WindowsServices.exe  # 研究 .vbs 裡面的code,還有這個執行檔,但可能被 AntiVirus 的 App 清除。

(圖一) 並且使用者原有的資料與資料夾,皆會被移至  _ 資料夾,並隱藏。(圖二)











(圖一)














(圖二)
1. 簡單分析結果,似乎會接觸到 一個網址
xmr.crypto-pool.fr:3333
對應的是
163-172-226-114.rev.poneytelecom.eu ( 163.172.226.114 )
在 helper.vbs 內參數如下
sParams = "-o stratum+tcp://xmr.crypto-pool.fr:3333 -u 42Damq6yzG5JteZ3wxZNkuKj6onDw9T27QoPxeBpv8ira5s7cZLS2Yz7KqwRD6ok4bjYp6PWkAiJMKjuQXo3wUh8PJ8JFwE -p x -lowcpu 2 -dbg -1"

2.建議檢查 %AppData%
在 movemenoreg.vbs 內參數
AppData = ws.ExpandEnvironmentStrings("%AppData%")

DestFolder = AppData & Target
SourceFolder = strFolder

3. 感染隨身碟的參數
installer.vbs 參數
'Checking for USB instance
Set objWMIService = GetObject("winmgmts:\\" & strComputer & "\root\cimv2")
Set colEvents = objWMIService.ExecNotificationQuery ("SELECT * FROM __InstanceOperationEvent WITHIN 1 WHERE " & "TargetInstance ISA 'Win32_LogicalDisk'")


Set objWinMgmt = GetObject("WinMgmts:Root\Cimv2")

-------------------------------------------------------------------------------------------------
此時記得將 _ 資料夾內的檔案與資料夾,在 live cd 的作業系統 (如windows PE),先解除檔案隱藏( cmd -> atttrib -H),並移出隨身碟,並刪除隨身碟內的 .lnk 與 WindowsServices後,便可移動原本的資料至隨身碟內。
請注意若有搭配 autorun.inf 的變異型,記得要先排除自動跳出執行的視窗,或是用 UNIX-like(Linux, BSD)的 live CD來解除。

movemenoreg.vbs 片段

























(圖三)

helper.vbs 片段
























(圖四)


installer.vbs 片段

























(圖五)

連http過去確實有架 http server(圖六),利用nmap 可顯示該 server 的開放埠(圖七),再來就開始反攻吧,看來也是個浮動靶IP







(圖六)


























(圖七)



這個網誌中的熱門文章

samba enable FS share under SELinux on CentOS

Installing VMware workstation pro on Ubuntu 22.X (Jammy Jellyfish)