新型病毒TROJ_BATWIPER.A (BatchWiper)

Sammi888

近期，伊朗信息安全中心（Iran CERT）发布声明，披露了一种可能具有针对攻击性的病毒。这种病毒会在指定时间删除感染电脑上特定磁盘中的文件。需要关注的是，由于该病毒极简单的设计使其执行效率很高。

这只病毒的编写方式也比较特别，作者通过工具将一系列具有恶意行为的BAT文件转换成可执行程序。

该病毒被趋势科技检测为 TROJ_BATWIPER.A。 分析发现，该病毒会在以下特定时间删除被感染电脑桌面，以及D-I 盘中的所有文件。
•        12月 10-12日, 2012
•        1月 21-23日, 2013
•        5月 6-8日, 2013
•        7月 22-24, 2013
•        11月 11-13, 2013
•        2月 3-5, 2014
•        5月 5-7, 2014
•        8月 11-13, 2014
•        2月 2-4, 2015
尽管这只病毒并没有使用复杂的技术，但仍然具有一定的毁灭性。这说明，即使像
TROJ_BATWIPER.A这样不采用高端技术编写的恶意程序，也能够给电脑系统带来严重的破坏。从而对感染该病毒的组织机构的业务运营造成不小的影响。这种攻击手段，与我们在之前一段时间里常常遇到的那些窃取信息系资料，或者后门一类的病毒在攻击的目的方面有一定的区别。

到目前为止，没有任何证据显示该病毒与之前的火焰病毒(Flame attacks)或者其他知名的删除文件的黑客活动有关。我们也尚未发现有用户感染TROJ_BATWIPER.A病毒的案例。

类似于TROJ_BATWIPER.A的这种病毒案例，它可能是即将到来的2013年（及未来）的基调。在2013年的安全预测中，我们预见将会发生更多的篡改或破坏数据，甚至是关系到特定国家信息基础的数据的网络攻击。

以上内容源自：
http://blog.trendmicro.com/trend ... re-makes-headlines/



病毒技术细节：

文件大小: 185,928 bytes
内存驻留: 没有
初始樣本接收日期: 17 十二月 2012
Payload: 删除文件, 植入文件
它在感染系统中添加下列文件/组件：
•        %System%\juboot.exe –被检测为 TROJ_BATWIPER.A
•        %System%\jucheck.exe – 被检测为 TROJ_BATWIPER.A
(注意: %System% 是 Windows 的 system 文件夹，通常位于 C:\Windows\System (Windows 98 和 ME)、C:\WINNT\System32 (Windows NT 和 2000) 和 C:\WINDOWS\system32 (Windows XP 和 Server 2003)。)
它添加下列非恶意文件：
•        %System%\Sleep.exe
(注意: %System% 是 Windows 的 system 文件夹，通常位于 C:\Windows\System (Windows 98 和 ME)、C:\WINNT\System32 (Windows NT 和 2000) 和 C:\WINDOWS\system32 (Windows XP 和 Server 2003)。)
自启动技术
它添加下列注册表项，在系统每次启动时自行执行：
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
jucheck.exe = %System%\jucheck.exe

防护方法：

将防毒软件组件更新至最新
不要随意运行未知来源发送的程序
尽量避免使用破解或非法软件

感染后处理方法：

1.        关闭系统还原
2.        使用防毒软件进行全盘扫描
3.        未安装防毒软件的用户可使用ATTK 进行扫描

32位windows 操作系统请使用：
http://support.trendmicro.com.cn ... stomizedpackage.exe
64位windows操作系统请使用：
http://support.trendmicro.com.cn ... mizedpackage_64.exe


关于该病毒的详细情况请参考：
http://about-threats.trendmicro. ... ame=TROJ_BATWIPER.A

lmw0313

趋势要火了

寒山竹语

求样本

寒山竹语

别名: Troj/BatDel-B (WebRoot), Troj/BatDel-B (Sophos), Trojan.Win32.Maya.a (Kaspersky), BAT/DelFiles.NBV trojan (Eset)
也就是，WebRoot ，Sophos，Kaspersky，Eset和趋势都可以查杀呗。

独孤无语

寒山竹语 发表于 2012-12-26 16:20
求样本

那个样本好像是10多M？有谁这么傻会写这么大的病毒，有谁这么傻下这个病毒？

恶意程式越大越容易被发现，不排除有些“奇葩中的美丽花朵”

除了伪装成普通的安装程序，系统补丁以外没啥子会中招的可能。

2013年要用有数字签名的软件啊

寒山竹语

独孤无语 发表于 2012-12-26 16:39
那个样本好像是10多M？有谁这么傻会写这么大的病毒，有谁这么傻下这个病毒？

恶意程式越大越容易被发现 ...

估计应该特殊一些。要不，他们不会发出来。。

独孤无语

寒山竹语 发表于 2012-12-26 16:43
估计应该特殊一些。要不，他们不会发出来。。

它的特殊在于，把看起来无害的bat组成有害行为的可执行文件。

相当与把“零件（无害）”组成“枪械（有害）”，以前的病毒都是整体，这个是分开的。

这对于一些有“信任继承”的安全软件造成挑战，也就是说“无害的组件组成的可执行文件也是无害的”

看谁中招

keyaozhang

寒山竹语 发表于 2012-12-26 16:21
别名: Troj/BatDel-B (WebRoot), Troj/BatDel-B (Sophos), Trojan.Win32.Maya.a (Kaspersky), BAT/DelFiles ...

额，难道说BD系都跪了？

寒山竹语

keyaozhang 发表于 2012-12-26 17:14
额，难道说BD系都跪了？

这个，我不知道

keyaozhang

寒山竹语 发表于 2012-12-26 17:15
这个，我不知道

看来传说中的BD系也有这么一天。。。。。。也许主防可以拦截，没关系没关系。。。。