248cc永利集团备用网址-永利集团全部网址

联系大家

售前服务电话:800-820-8876
售后服务电话:800-820-8839
手机用户可拨打:400-820-8839

【病毒预警】攻击银行用户的 WSH RAT 恶意App变种预警

事件描述


近日, 亚信安全截获新型 WSH RAT 恶意App变种, 该恶意App在今年 6 月 2 日首次发布,是基于 VBS 的 Houdini 蠕虫(H-Worm)的最新变种, 该蠕虫最早可以追溯到 2013 年, 因为其简洁有效的远控功能、非 PE 脚本易于免杀、便于修改等特性,一直活跃至今。 本次截获的 WSH RAT 主要通过恶意 URL、 MHT 和 ZIP 等多种形式进行网络钓鱼攻击活动, 其主要攻击目标是银行客户。 亚信安全将其命名为 TROJ_FRS.0NA103II19。


攻击流程



详细分析


WSH RAT 是一款新型的 RAT 恶意App,它会释放各种模块,并通过远程控制对受害者机器下发各种指令,实行相应的操作。 其母体文件是一个 Jar 包的恶意程序,可以直接在 java 环境下运行。 主程序读取资源文件 ycfysuwhlz(本身也是 JS 文件),然后生成 lrefocyhfz.js 恶意脚本文件。




lrefocyhfz.js 恶意脚本内容如下, 通过替换其中的字符串, 再进行 base64 解密生成一个新的 JS文件,大家命名为 decode-1.txt 文件。



decode-1.txt 文件分析


该脚本前半部分会生成一个恶意 JS 脚本 hliqmPFawG.js,后半部分生成一个随机名字的 txt 文件,该文件是一个 jar 文件, 后续仍然需要通过 java 环境实行。



病毒首先判断系统是否存在 java 环境,如果存在就直接运行生成的随机名字的 jar 文件,如果不存在则从网址 https://posta.co.tz/goz/jre7.zip 下载 jre 包,解压之后设置 java 环境,再通过 java 调用该 jar 文件。




hliqmPFawG.js 文件分析


该病毒首先初始化 C&C 服务器地址和端口, 恶意服务器 C&C 地址: pluginsrv1.duckdns.org,端口:7756



然后添加注册表启动项,复制自身到启动目录。



其会给远程服务器发送不同的指令,等待返回的指令,实行不同的操作。具体的行为如下表所示。


断开连接、重启,关机、远程 CMD 实行

安装 WSH SDK

更新、卸载

上传、下载

文件管理、键盘记录、反向代理设置

日志信息、CMD通道、进程信息

关闭安全App、UAC、检测和更新状态

实行恶意脚本、结束进程、休眠


●    断开连接、 重启, 关机、远程 CMD 实行



●    安装 WSH SDK




●    更新、卸载



●    上传、 下载



●    文件管理、键盘记录、反向代理设置



●    日志信息、 CMD 通道、进程信息、关闭安全App、 UAC、 检测和更新状态等



●    实行恶意脚本、 结束进程、 休眠等。



随机 jar 文件分析


主程序运行之后, 释放/operational/ iiiiiiiiii.class 文件到%temp%目录下, 命名为随机数字.class文件,然后再通过 java 加载随机数字.class 文件。



解决方案


●    不要点击来源不明的邮件以及附件;


●    不要点击来源不明的邮件中包含的链接;


●    打全系统及应用程序补丁;


●    采用高强度的密码,避免使用弱口令密码,并定期更换密码;


●    尽量关闭不必要的文件共享;


亚信安全解决方案


●    亚信安全病毒码版本 15.373.60, 云病毒码版本 15.373.71, 全球码版本 15.373.00 已经可以检测,请用户及时升级病毒码版本。


IOCs


MD5


95014878404D850502BA546A0FEB3CFC

248cc永利集团备用网址|永利集团全部网址

XML 地图 | Sitemap 地图