大香蕉病毒衍生物

YYT2013

卡巴斯基优选版、智量终端安全、火绒安全（高启发）均missvt 1/62 VirusTotal - File - 97b9c09d6e6e06fd7ccc26e706cd63fb056918d35aac3f650c4734295eb569a8
沙箱：Analysis 1A31.bat (MD5: D7822977368AD8BE6105B60831BFA428) Malicious activity - Interactive analysis ANY.RUN
这个文件就是从大香蕉病毒的write.exe逆向后得到的bat

ulyanov2233

https://opentip.kaspersky.com/97 ... /results?tab=upload 检出

心醉咖啡

360

Fadouse

GPT5 High的总结（仅限参考提示词如下

1. 您是一名资深网络安全SOC， 请帮忙分析这个恶意bat文件在干什么？。 请分析进程连，其干了什么（网路上，文件上，内存上等等与本机相关的）？对当前环境有什么影响(如什么什么文件外泄，那些账号被凭据泄露，使用mitre 映射讲解)？这是不是高可信度的攻击或者恶意事件？我们现在需要干什么？以及对当前事件的完整总结报告！ 谢谢！

复制代码

一、结论（Executive Summary）该批处理脚本具备强破坏性（wiper/kill-bat）特征：批量删除系统关键目录（含 %SystemRoot%\System32、drivers、catroot/catroot2），删除服务注册表分支，禁用系统恢复与清除卷影副本，并通过IFEO（Image File Execution Options）为大量核心进程设置“Debugger”以阻止其启动（覆盖 winlogon.exe、explorer.exe、taskmgr.exe、regedit.exe、cmd.exe、mmc.exe、主流浏览器等）。同时脚本禁用/篡改本地账户、篡改 Winlogon 的 Shell/Userinit、大规模破坏文件关联并释放 IP（断网）。
若以管理员权限执行，主机将高度可能不可恢复或需重装。脚本未见下载/上传/远程连接指令，未直接证据表明数据外泄或凭据转储；但在破坏环境的同时更易掩盖其他入侵轨迹。综合判定：高可信度且高危的恶意事件（CRITICAL）。
二、样本与IOC

• 文件：/mnt/data/1A31.bat
• 大小：14,098 bytes
• MD5：d7822977368ad8be6105b60831bfa428
• SHA-256：97b9c09d6e6e06fd7ccc26e706cd63fb056918d35aac3f650c4734295eb569a8
• 恶意标识字符串：账户全名被改为**“大香蕉%random%”**；密码硬编码含“B1gBananaVIru5”。
  

三、进程链（逻辑复原）cmd.exe（执行 1A31.bat）└─ 多个 “start /min cmd.exe /c …” 子进程   ├─ reg.exe add/delete（策略、IFEO、Winlogon 篡改；删除 CLSID/Services 等）   ├─ bcdedit.exe / reagentc.exe（禁用恢复）   ├─ vssadmin.exe / wmic.exe（删除卷影副本）   ├─ net.exe user（禁用/改名/改密：当前用户与 Administrator）   └─ takeown.exe / icacls.exe / rd.exe（接管权限并删除 System32 / drivers 等关键目录）四、行为分面分析1) 文件/文件系统

• 递归删除：%SystemRoot%\System32\、%SystemRoot%\System32\drivers\、%SystemRoot%\System32\catroot(2)\ 等关键目录。
• 先 takeown/icacls 接管权限，再 rd /s /q 强删。
• 大规模 assoc 将约85种扩展名（脚本、文档、图片、音视频、压缩包等）改为虚假类型 Banana_File_Type，破坏打开方式。
  

2) 注册表/系统配置

• 删除服务分支：HKLM\SYSTEM\CurrentControlSet\Services、ControlSet001\Services、ControlSet002\Services（导致服务配置丢失）。
• Winlogon 篡改：Shell = 0、Userinit = 0 ⇒ 登录后无外壳/初始化，系统不可用。
• IFEO 滥用（Debugger）：对28个关键进程设 Debugger（值为 \），例如：
  
  • winlogon.exe, wininit.exe, csrss.exe, explorer.exe, taskmgr.exe, regedit.exe, cmd.exe, mmc.exe, rundll32.exe, consent.exe（UAC）、wscript.exe、以及 msedge.exe、firefox.exe、iexplore.exe、SystemSettings.exe、StartMenuExperienceHost.exe 等。
    ⇒ 几乎所有运维/取证/图形外壳/浏览器都被阻断。
    
• 策略锁死：DisableCMD、DisableRegistryTools、DisableTaskmgr、NoRun、NoDesktop、NoViewOnDrive、RestrictRun 等。
• 删除 HKCR\CLSID 全部键值（破坏 COM 组件注册，影响系统/应用稳定）。
  

3) 恢复抑制/痕迹打断

• bcdedit /set {current} recoveryenabled no（禁用启动恢复）。
• reagentc /disable（禁用 Windows RE）。
• vssadmin delete shadows /all /quiet、wmic shadowcopy delete（删除卷影副本）。
• ipconfig /release_all（释放 IP，断网以妨碍远程响应）。
  

4) 账户操作

• net user %username% /active:no、net user Administrator /active:no（禁用账号）。
• 设置全名为“大香蕉+随机数”，并将口令重置为硬编码的恶意值（两套不同字符串）。
• 暂未见凭据转储工具调用；当前样本意图为破坏与拒绝服务而非窃密。
  

五、对环境的影响评估

• 完整性：服务注册表与驱动被删除 ⇒ 系统服务/驱动失效；Winlogon 被破坏 ⇒ 登录即瘫痪。
• 可恢复性：本地恢复功能和卷影副本均被清除 ⇒ 常规在线修复几乎不可行，需离线介质或重装。
• 可观测性：IFEO 阻断核心工具，策略禁用 CMD/注册表/任务管理器，增加现场响应难度。
• 数据安全与凭据：脚本不包含数据外传指令；就样本本身而言未见外泄与凭据窃取行为。但需联合EDR/SIEM确认是否存在并发载荷。
• 总体严重度：CRITICAL（最高级别）。此为高置信度恶意破坏事件。
  

六、MITRE ATT&CK 映射

• T1059.003 – Command & Scripting Interpreter: Windows Command Shell（批处理脚本）
• T1112 – Modify Registry（大规模策略/Winlogon/CLSID/IFEO篡改）
• T1546.012 – Event-Triggered Execution: IFEO Injection（用于阻断系统/安全工具）
• T1490 – Inhibit System Recovery（bcdedit/reagentc/vssadmin/wmic）
• T1485/T1492 – Data/Stored Data Destruction（删除 System32/Drivers/服务注册表）
• T1098 – Account Manipulation（禁用/改名/改密）
• T1562.001 – Impair Defenses: Disable or Modify Tools（Disable* 策略 + IFEO）
• T1047 – Windows Management Instrumentation（wmic shadowcopy delete）
• T1499 – Endpoint Denial of Service（综合破坏导致主机不可用）
  

七、是否为高可信度攻击/恶意事件？是。样本意图清晰、命令明确、后果严重，且包含“大香蕉 / B1gBananaVIru5”等强标识化字符串。高置信度恶意破坏（wiper/kill-bat）。
八、我们现在需要做什么（分层处置）1) 立即处置（Minutes）

• 隔离：将疑似受影响主机立刻隔离网络（物理/EDR 隔离），避免横向影响。
• 保全：若尚可交互，优先内存取证与镜像/注册表导出；但预计被 IFEO/策略阻断。
• 阻断传播：在网关/EDR 以哈希与规则封禁该脚本及同源可疑载荷。
• 凭据：对被禁用/改密的本地账户执行离线口令重置（或域侧控制），并启动异常登录排查。
  

2) 根除与恢复（Hours/Days）

• 高度建议重装系统（Gold Image 重建）以保证完整性。
• 如需尝试离线修复（仅限取证/过渡场景）：
  
  • 通过 WinPE/恢复介质挂载注册表，删除
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\*\Debugger
  • 恢复 Winlogon 默认值：
    
    • Shell = explorer.exe
    • Userinit = C:\Windows\System32\userinit.exe,
      
  • 但服务分支与驱动的系统性破坏往往难以完全恢复，风险极高，仍建议重装。
    
• 口令重置与令牌失效：涉及本地与域凭据的潜在泄露面应统一轮换。
• 全网威胁狩猎：关联搜索下述高信号事件（见下一节检测要点）。
  

九、检测与狩猎要点（可落地）高信号命令行：

• "bcdedit /set {current} recoveryenabled no"
• "reagentc /disable"
• "vssadmin delete shadows /all /quiet" 或 "wmic shadowcopy delete"
• reg add "...\Image File Execution Options\*\*" /v Debugger（值为 \ 或异常路径）
• reg add ...\Policies\System /v DisableCMD|DisableRegistryTools|DisableTaskmgr|NoRun|NoDesktop|NoViewOnDrive|RestrictRun
• net user <任意> /active:no、中文全名“大香蕉”
  

注册表关键痕迹：

• HKLM\SYSTEM\CurrentControlSet\Services（被清空/删除）
• HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon（Shell/Userinit 异常）
• HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\*（Debugger）
  

十、风险与后续

• 数据外泄：样本本身无外联/下载/上传证据，但务必用代{过}{滤}理/网关/EDR/SIEM 复核同时间窗是否存在其他活动载荷。
• 归因：脚本内标识可能指向匿名作者/玩笑化命名，不建议仅据此归因。
• 政策与加固：建议将“IFEO/恢复功能/卷影副本篡改”等纳入预警基线与主动阻断策略。
  

Curve25519

ESET Smart Security Premium 解压、扫描 miss，沙盘中运行杀 cmd.exe！？

扫描日志
检测引擎的版本: 31896 (20250921)
日期: 2025/9/21  时间: 17:28:40
已扫描的磁盘、文件夹和文件: W:\Sandbox\Admin\DefaultBox\drive\W\大香蕉病毒衍生物\1A31.bat
用户: DESKTOP-K07940I\Admin
已扫描的对象数: 2
检测数: 0
完成时间: 17:28:40  总扫描时间: 0 秒 (00:00:00)

2025/9/21 17:28:26;命令行扫描程序;文件;C:\Windows\System32\cmd.exe;BAT/DelFiles.NKV 特洛伊木马;已通过删除清除;DESKTOP-K07940I\Admin;尝试运行以下命令时发生事件： C:\WINDOWS\system32\cmd.exe /c ""W:\Sandbox\Admin\DefaultBox\drive\W\大香蕉病毒衍生物\1A31.bat" ";DB45D1AE5C96F3978CB8308134BA4BCD4FC9993A;;;

Curve25519

ESET Smart Security Premium 解压、扫描 miss，沙盘中运行杀 cmd.exe！？

扫描日志
检测引擎的版本: 31896 (20250921)
日期: 2025/9/21  时间: 17:28:40
已扫描的磁盘、文件夹和文件: W:\Sandbox\Admin\DefaultBox\drive\W\大香蕉病毒衍生物\1A31.bat
用户: DESKTOP-K07940I\Admin
已扫描的对象数: 2
检测数: 0
完成时间: 17:28:40  总扫描时间: 0 秒 (00:00:00)

2025/9/21 17:28:26;命令行扫描程序;文件;C:\Windows\System32\cmd.exe;BAT/DelFiles.NKV 特洛伊木马;已通过删除清除;DESKTOP-K07940I\Admin;尝试运行以下命令时发生事件： C:\WINDOWS\system32\cmd.exe /c ""W:\Sandbox\Admin\DefaultBox\drive\W\大香蕉病毒衍生物\1A31.bat" ";DB45D1AE5C96F3978CB8308134BA4BCD4FC9993A;;;

莒县小哥

awsl10000次

ulyanov2233 发表于 2025-9-21 16:54
https://opentip.kaspersky.com/97B9C09D6E6E06FD7CCC26E706CD63FB056918D35AAC3F650C4734295EB569A8/resul ...

这个报法名字太好玩了

ongarabazanade

lovexiaomo

双击