BKDR_ANDROM.ETIN

2017年8月30日

分(fēn)析者: Byron Jon Gelera

Worm:Win32/Gamarue!rfn (Microsoft)

Threat sub-type:

Fileless

平台:

Windows

总體(tǐ)风险等级:

潜在破坏:

潜在分(fēn)布:

感染次数:

信息暴露:

恶意软件类型:
Backdoor
有(yǒu)破坏性？:
没有(yǒu)
加密？:
是的
In the Wild:
是的

概要

感染途徑: 下降了其他(tā)恶意软件, 从互联网上下载

它以其他(tā)恶意软件释放的文(wén)件或用(yòng)户访问恶意网站时不知不觉下载的文(wén)件的形式到达系统。它开始执行然后再删除。

技(jì )术详细信息

文(wén)件大小(xiǎo): 257,024 bytes

报告日期: DLL

内存驻留: 是的

初始樣本接收日期: 2017年7月20日

Payload: 连接到 URL/Ip, 终止进程, 收集系统信息

新(xīn)病毒详细信息

它可(kě)能(néng)是由下列恶意软件/灰色软件/间谍软件从遠(yuǎn)程站点下载而来：

TROJ_PSINJECT.A

它可(kě)能(néng)是从下列遠(yuǎn)程站点下载而来：

https://{BLOCKED}ndo.ru/favicon

安(ān)装(zhuāng)

它添加下列进程：

WerFault.exe (Windows Vista and above) / ctfmon.exe (Windows XP and below)
msiexec.exe

它添加下列互斥条目，确保一次只会运行一个副本：

Global\Mutex_4e1c16d7187ac191a832a41f7192645425dad5c792b76ed1dd7071926289ac66

它向下列进程中(zhōng)注入代码：

created WerFault.exe/ctfmon.exe
created msiexec.exe

自启动技(jì )术

它添加下列注册表项，在系统每次启动时自行执行：

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{UID} = "%System%\WindowsPowerShell\v1.0\powershell.exe -WindowStyle hidden -NoLogo -NonInteractive -ep bypass -nop iex ([Text.Encoding]::ASCII.GetString([Convert]::FromBase64String((gp 'HKCU:\Software\Classes\{random character}').{random character})));"

其他(tā)系统修改

它添加下列注册表项：

HKEY_CURRENT_USER\Software\Classes\
{random characters}
{random characters} = {base 64 encoded powershell command}

HKEY_CURRENT_USER\Software\Classes\
{random characters}
{UID} = {encrypted binary data}

HKEY_CURRENT_USER\Console\%SystemRoot%\
_system32_WIndowsPowerShell_v1.0_powershell.exe
WindowPosition = 4294905760

HKEY_CURRENT_USER\Console\%SystemRoot%\
_system32_WIndowsPowerShell_v1.0_powershell.exe
ScreenBufferSize = 65616

HKEY_CURRENT_USER\Console\%SystemRoot%\
_system32_WIndowsPowerShell_v1.0_powershell.exe
WindowSize = 65616

它删除下列注册表项：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options\
taskmgr.exe
window = "taskmgr.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{UID} = {where the data has the following strings}:

"powershell"
"-windowstyle hidden"
"[Text.Encoding]::ASCII.GetString([Convert]::FromBase64String"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
COM+ = {current value}

传播

该恶意软件不具(jù)有(yǒu)任何传播例程。

后门例程

它执行遠(yuǎn)程恶意用(yòng)户的下列命令：

Start a Process
Download a file directed by C&C server, save it as %User Temp%\KB{8 random numbers}.exe and execute it
Copy %System%\cdosys.dll to %User Temp%\cdo{random number}.dll and load it
Uninstall itself

(注意: %User Temp% 是当前用(yòng)户的 Temp 文(wén)件夹。通常位于 C:\Documents and Settings\{user name}\Local Settings\Temp (Windows 2000、XP 和 Server 2003)。. %System% 是 Windows 的 system 文(wén)件夹，通常位于 C:\Windows\System (Windows 98 和 ME)、C:\WINNT\System32 (Windows NT 和 2000) 和 C:\WINDOWS\system32 (Windows XP 和 Server 2003)。)

它连接到下列网站，发送和接收信息：

http://{Random Generated Domain}/nonc.so
http://{BLOCKED}an.ru/q.php
http://{BLOCKED}ano.ru/q.php

进程终止

它终止在受感染的系统内存中(zhōng)运行的下列进程：

powershell.exe

信息窃取

它收集下列数据:

Root Volume Serial Number
Operating System Version
Local IP Address
Administrator privileges

解决方案

最小(xiǎo)扫描引擎: 9.850

First VSAPI Pattern File: 13.546.04

VSAPI 第一样式发布日期: 2017年7月21日

VSAPI OPR样式版本: 13.547.00

VSAPI OPR样式发布日期: 2017年7月22日

Step 1

对于Windows ME和XP用(yòng)户，在扫描前，请确认已禁用(yòng)系统还原功能(néng)，才可(kě)全面扫描计算机。

Step 3

重启进入安(ān)全模式

[ 更多(duō) ]

Step 4

删除该注册表值

[ 更多(duō) ]

注意事项：错误编辑Windows注册表会导致不可(kě)挽回的系统故障。只有(yǒu)在您掌握后或在系统管理(lǐ)员的帮助下才能(néng)完成这步。或者，请先阅读Microsoft文(wén)章，然后再修改计算机注册表。

In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- {UID} = "%System%\WindowsPowerShell\v1.0\powershell.exe -WindowStyle hidden -NoLogo -NonInteractive -ep bypass -nop iex ([Text.Encoding]::ASCII.GetString([Convert]::FromBase64String((gp 'HKCU:\Software\Classes\{random character}').{random character})));"
In HKEY_CURRENT_USER\Software\Classes\{random characters}
- {random characters} = {base 64 encoded powershell command}
In HKEY_CURRENT_USER\Software\Classes\{random characters}
- {UID} = {encrypted binary data}
In HKEY_CURRENT_USER\Console\%SystemRoot%\_system32_WIndowsPowerShell_v1.0_powershell.exe
- WindowPosition = 4294905760
In HKEY_CURRENT_USER\Console\%SystemRoot%\_system32_WIndowsPowerShell_v1.0_powershell.exe
- ScreenBufferSize = 65616
In HKEY_CURRENT_USER\Console\%SystemRoot%\_system32_WIndowsPowerShell_v1.0_powershell.exe
- WindowSize = 65616

Step 5

重启进入正常模式，使用(yòng)亚信安(ān)全产(chǎn)品扫描计算机，检测BKDR_ANDROM.ETIN文(wén)件如果检测到的文(wén)件已被亚信安(ān)全产(chǎn)品清除、删除或隔离，则无需采取进一步措施。可(kě)以选择直接删除隔离的文(wén)件。请参阅知识库页(yè)面了解详细信息。

Step 6

使用(yòng)亚信安(ān)全产(chǎn)品扫描计算机，并删除检测到的BKDR_ANDROM.ETIN文(wén)件如果检测到的文(wén)件已被亚信安(ān)全产(chǎn)品清除、删除或隔离，则无需采取进一步措施。可(kě)以选择直接删除隔离的文(wén)件。请参阅知识库页(yè)面了解详细信息。