虽然发现恶意软件或代码并不罕见巴斯德宾,这是一个惊喜,发现一个滴管下载的有效载荷从巴斯德宾飞行。结果表明,有效载荷是一个老鼠与键盘记录器功能。
滴管
滴管不过是一个可适应的包交付实际有效载荷。这个叫做VMWare.exe,安装程序的第一个屏幕假装自己是“WindowsInstall”。
虽然我们不完全确定它的起源,但这使我们考虑了一种典型的感染方式。注册机。
有效载荷
当我们运行这个示例时,我们注意到一个与特定Pastebin页面的连接。
发布的代码是一个Visual Basic脚本,可下载并运行名为Tempwinlogon.exe的文件。可执行文件本身以十六进制发布,并由脚本中的函数重建。
我们复制并修改了脚本,以查看它将文件放在哪里。不要在家里尝试,至少不要在你需要的电脑上尝试。运行碰巧在某个地方找到的未知脚本并不总是一个好主意。文件的目的地是c:\ usersa \{username}\AppData\Local\Tempwinlogon.exe(在运行Windows 7的系统上)。
河鼠
这被证明是一个。net木马,被一些供应商检测为Bladabindi,它是njRAT。它有键盘记录功能,并连接到37.237.112的IP。*范围。
键盘记录器
可执行文件被复制到c:\ usersa \{username}\AppData\Roaming\Tr.exe和c:\ usersa \{username}\AppData\Roaming\Microsoft\Windows\开始菜单\程序\Startup\353cd7180c8c415bfffe6958aebb47d8.exe以获得持久性。如果正在运行的进程(Tr.exe)被停止(例如,通过使用任务管理器),这将导致立即BSOD如下所示:
文件详细信息
SHA1VMWare.exe45653 c39e8201a0b3c469ae6208ad6f2ed9835a4
SHA1Tempwinlogon.exeb777b4c35ba0933f310b885a28e972c578a39922
检测Malwarebyt必威平台APPes反恶意软件为Trojan.Agent.GenX.IPH
的必威平台APP恶意软件网站保护模块阻断所有到C2服务器的流量。
满满的拆卸指南可以在我们的论坛上找到。不过,如果您已感染此RAT病毒,请考虑更改密码,因为密码可能已被此威胁破坏。
在我们向Pastebin报告后源页面已经被取下来了。
总结
我们分析的一个滴管在飞行中从Pastebin下载了部分有效载荷的代码。有效载荷是一个具有键盘记录功能的RAT病毒。
幸亏哈舍雷扎德对她的帮助。
Pieter Arntz
评论