Babonock蠕虫分析
样本信息
| 文件名 | 山西***有限公司-2017-1104.exe |
|---|---|
| MD5 | 2EB5D76180CE7B3241B281FA79AB3483 |
| SHA1 | 06293DEA80E39C7EB7EE2BDB00D60B58D932FA8A |
| CRC32 | 541BE22A |
| 文件大小 | 680,511字节 |
| 病毒类型 | Trojan.Win32.Hesv.cmsm |
由此可知,该病毒由AutoIt3编写
行为分析
使用火绒剑进行行为监控发现:
样本运行后,会将自身复制到%USERPROFILE%\AppData\Microsoft\Office\rundll32.exe;并修改注册表,实现自启动和隐藏文件及文件后缀名;创建mspoint.pip文件记录键盘行为;连接185.27.134.11:21。
AutoIt脚本分析
使用Autoit3 Decompiler提取出样本的源码
创建同名文件夹并打开,执行install方法
copy方法,复制自身到rundll32.exe,修改注册表,执行子进程并退出主进程
install方法,修改注册表,复制执行rundll32.exe
FTP信息,获取可移动驱动器
键盘钩子
FTP上传mspoint.pip
更新病毒
复制到新的可移动驱动器
总结
该样本属于Babonock网络蠕虫,是一种通过将自身复制到可移动驱动器而传播的蠕虫,会窃取受感染计算机的键盘输入信息,并通过ftp协议传送到ftp.byethost10.com。
IOCs
2EB5D76180CE7B3241B281FA79AB3483
ftp.byethost10.com
185.27.134.11
Babonock蠕虫分析
http://wangchenchina.github.io/2022/07/26/Babonock蠕虫分析/