Ransom.MSIL.AGENDA.THJCOBD

2024年11月27日

分析者: Neljorn Nathaniel Aguas

Backdoor:MSIL/Androm.E!MTB (MICROSOFT)

平台:

Windows

总体风险等级:

潜在破坏:

潜在分布:

感染次数:

信息暴露:

恶意软件类型:
Ransomware
有破坏性？:
没有
加密？:
没有
In the Wild:
是的

概要

感染途徑: 下载了其他恶意软件

它以文件的形式出现在系统中，可能是其他恶意软件投放的，或者是用户在访问恶意网站时无意中下载的。

它开始执行然后再删除。

技术详细信息

文件大小: 6,157,824 bytes

报告日期: EXE

内存驻留: 是的

初始樣本接收日期: 2024年10月29日

Payload: 植入文件, 显示图形/图片, 修改系统注册表

新病毒详细信息

它以文件的形式出现在系统中，可能是其他恶意软件投放的，或者是用户在访问恶意网站时无意中下载的。

安装

它添加下列文件夹：

%User Temp%\QLOG

它植入下列文件：

%User Temp%\atx.bat → script to rename the first rh*.exe file it finds in the current folder to rh111.exe before executing it with specified arguments
%User Temp%\QLOG\ThreadId({Number}).LOG → contains embedded configuration and execution logs
%User Temp%\{Random Letters}.jpg → image used as desktop wallpaper

它添加下列进程：

cmd /c ""%User Temp%\atx.bat" "
"cmd" /C fsutil behavior set SymlinkEvaluation R2R:1
"cmd" /C fsutil behavior set SymlinkEvaluation R2L:1
"cmd" /C net use
"cmd" /C wmic service where name='vss' call ChangeStartMode Manual
"cmd" /C net start vss
"cmd" /C vssadmin.exe delete shadows /all /quiet
"cmd" /C net stop vss
"cmd" /C wmic service where name='vss' call ChangeStartMode Disabled
"powershell" $logs = Get-WinEvent -ListLog * | Where-Object {$_.RecordCount} | Select-Object -ExpandProperty LogName ; ForEach ( $l in $logs | Sort | Get-Unique ) {[System.Diagnostics.Eventing.Reader.EventLogSession]::GlobalSession.ClearLog($l)} - clears all event logs
"powershell" -Command "Import-Module ActiveDirectory ; Get-ADComputer -Filter * | Select-Object -ExpandProperty DNSHostName"
"powershell" -Command "ServerManagerCmd.exe -i RSAT-AD-PowerShell ; Install-WindowsFeature RSAT-AD-PowerShell ; Add-WindowsCapability -Online -Name 'RSAT.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0'"
"reg.exe" QUERY "HKEY_USERS"
"powershell" -Command "Set-ItemProperty -Path 'Registry::HKEY_USERS\.DEFAULT\Control Panel\Desktop' -Name Wallpaper -Value '%User Temp%\{Random Letters}.jpg'"
"powershell" -Command "Set-ItemProperty -Path 'Registry::HKEY_USERS\{LOCAL SERVICE SID}\Control Panel\Desktop' -Name Wallpaper -Value '%User Temp%\{Random Letters}.jpg'"
"powershell" -Command "Set-ItemProperty -Path 'Registry::HKEY_USERS\{NETWORK SERVICE SID}\Control Panel\Desktop' -Name Wallpaper -Value '%User Temp%\{Random Letters}.jpg'"
"powershell" -Command "Set-ItemProperty -Path 'Registry::HKEY_USERS\{USER SID}\Control Panel\Desktop' -Name Wallpaper -Value '%User Temp%\{Random Letters}.jpg'"
"powershell" -Command "Set-ItemProperty -Path 'Registry::HKEY_USERS\{USER CLSID}\Control Panel\Desktop' -Name Wallpaper -Value '%User Temp%\{Random Letters}.jpg'"
"powershell" -Command "Set-ItemProperty -Path 'Registry::HKEY_USERS\{SYSTEM SID}\Control Panel\Desktop' -Name Wallpaper -Value '%User Temp%\{Random Letters}.jpg'"
"powershell" -Command " REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Personalization /f ; REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Personalization /v LockScreenImagePath /t REG_SZ /d '%User Temp%\{Random Letters}.jpg' /f ; REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Personalization /v LockScreenImageUrl /t REG_SZ /d '%User Temp%\{Random Letters}.jpg' /f ; REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Personalization /v LockScreenImageStatus /t REG_DWORD /d 1 /f ; REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\PersonalizationCSP /f ; REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\PersonalizationCSP /v LockScreenImagePath /t REG_SZ /d '%User Temp%\{Random Letters}.jpg' /f ; REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\PersonalizationCSP /v LockScreenImageUrl /t REG_SZ /d '%User Temp%\{Random Letters}.jpg' /f ; REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\PersonalizationCSP /v LockScreenImageStatus /t REG_DWORD /d 1 /f
"%System%\reg.exe" ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Personalization /f
"%System%\reg.exe" ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Personalization /v LockScreenImagePath /t REG_SZ /d %User Temp%\{Random Letters}.jpg /f
"%System%\reg.exe" ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Personalization /v LockScreenImageUrl /t REG_SZ /d %User Temp%\{Random Letters}.jpg /f
"%System%\reg.exe" ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Personalization /v LockScreenImageStatus /t REG_DWORD /d 1 /f
"%System%\reg.exe" ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\PersonalizationCSP /f
"%System%\reg.exe" ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\PersonalizationCSP /v LockScreenImagePath /t REG_SZ /d %User Temp%\{Random Letters}.jpg /f
"%System%\reg.exe" ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\PersonalizationCSP /v LockScreenImageUrl /t REG_SZ /d %User Temp%\{Random Letters}.jpg /f
"%System%\reg.exe" ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\PersonalizationCSP /v LockScreenImageStatus /t REG_DWORD /d 1 /f
"cmd" /C timeout /T 10 & Del "{Malware Path}\{Malware Filename}"

(注意: %User Temp% 是当前用户的 Temp 文件夹。通常位于 C:\Documents and Settings\{user name}\Local Settings\Temp (Windows 2000(32-bit)、XP 和 Server 2003(32-bit))、C:\Users\{user name}\AppData\Local\Temp (Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit) 和 10(64-bit)。. %System% 是 Windows 的 system 文件夹，通常位于 C:\Windows\System (Windows 98 和 ME)、C:\WINNT\System32 (Windows NT 和 2000) 和 C:\WINDOWS\system32 (Windows 2000(32-bit)、XP、Server 2003(32-bit)、Vista、7、8、8.1、2008(64-bit),2012(64bit) 和 10(64-bit))。)

它开始执行然后再删除。

它添加下列互斥条目，确保一次只会运行一个副本：

32bcf09497d3a5a77fcea9740d3bd2b2c70760cfe3aef8b4c819adb509434ead

自启动技术

它添加下列注册表项，在系统每次启动时自行执行：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
*{Random Letters} = "{Malware Path}\{Malware Filename}" --password {Password} --no-admin

其他系统修改

它修改下列注册表项：

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\FileSystem
SymlinkRemoteToLocalEvaluation = 1

(Note: The default value data of the said registry entry is 0.)

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\FileSystem
SymlinkRemoteToRemoteEvaluation = 1

(Note: The default value data of the said registry entry is 0.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
EnableLinkedConnections = 1

(Note: The default value data of the said registry entry is 0.)

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
services\LanmanServer\Parameters
MaxMpxCt = 65535

(Note: The default value data of the said registry entry is {Default Value}.)

它通过修改下列注册表项，更改桌面壁纸：

HKEY_CURRENT_USERS\Control Panel\Desktop
Wallpaper = %User Temp%\{Random Letters}.jpg

(Note: The default value data of the said registry entry is {Default Image}.)

HKEY_USERS\.DEFAULT\Control Panel\
Desktop
Wallpaper = %User Temp%\{Random Letters}.jpg

(Note: The default value data of the said registry entry is {Default Image}.)

HKEY_USERS\{LOCAL SERVICE SID}\Control Panel\
Desktop
Wallpaper = %User Temp%\{Random Letters}.jpg

(Note: The default value data of the said registry entry is {Default Image}.)

HKEY_USERS\{NETWORK SERVICE SID}\Control Panel\
Desktop
Wallpaper = %User Temp%\{Random Letters}.jpg

(Note: The default value data of the said registry entry is {Default Image}.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Personalization
LockScreenImagePath = %User Temp%\{Random Letters}.jpg

(Note: The default value data of the said registry entry is {Default Image Path}.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Personalization
LockScreenImageUrl = %User Temp%\{Random Letters}.jpg

(Note: The default value data of the said registry entry is {Default Image URL}.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Personalization
LockScreenImageStatus = 1

(Note: The default value data of the said registry entry is {Default Value}.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\PersonalizationCSP
LockScreenImagePath = %User Temp%\{Random Letters}.jpg

(Note: The default value data of the said registry entry is {Default Image Path}.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\PersonalizationCSP
LockScreenImageUrl = %User Temp%\{Random Letters}.jpg

(Note: The default value data of the said registry entry is {Default Image URL}.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\PersonalizationCSP
LockScreenImageStatus = 1

(Note: The default value data of the said registry entry is {Default Value}.)

它将系统的桌面壁纸设置为下列图像：

进程终止

它终止在受感染的系统上运行的下列服务：

(.*?)sql(.*?)
acronisagent
acrsch2svc
backup
backupexecagentaccelerator
backupexecagentbrowser
backupexecdivecimediaservice
backupexecjobengine
backupexecmanagementservice
backupexecrpcservice
backupexecvssprovider
gxblr
gxcimgr
gxclmgrs
gxcvd
gxfwd
gxmmm
gxvss
gxvsshwprov
memtas
mepocs
msexchange
msexchange\$
mvarmor
mvarmor64
pdvfsservice
qbcfmonitorservice
qbdbmgrn
qbidpservice
sap
sap\$
sapd\$
saphostcontrol
saphostexec
sapservice
sophos
sql
veeam
veeamdeploymentservice
veeamnfssvc
veeamtransportsvc
vsnapvss
vss
wsbexchange

它终止在受感染的系统内存中运行的下列进程：

agntsvc
avagent
avscc
bedbh
benetns
bengien
beserver
cagservice
cvd
cvfwd
cvmountd
cvods
dbeng50
dbsnmp
dellsystemdetect
encsvc
enterpriseclient
excel
firefox
infopath
isqlplussvc
msaccess
mspub
mvdesktopservice
mydesktopqos
mydesktopservice
notepad
ocautoupds
ocomm
ocssd
onenote
oracle
outlook
powerpnt
pvlsvr
qbcfmonitorservice
qbdbmgrn
qbidpservice
raw_agent_svc
sap
saphostexec
saposcol
sapstartsrv
sqbcoreservice
sql
steam
synctime
tbirdconfig
teamviewer
teamviewer_service
thebat
thunderbird
tv_w32
tv_x64
veeamdeploymentsvc
veeamnfssvc
veeamtransportsvc
visio
vmcompute
vmwp
vsnapvss
vxmon
winword
wordpad
xfssvccon

其他详细信息

该程序执行以下操作：

It enables the following privileges to allow access to restricted actions in the system:
- SeDebugPrivilege
- SeImpersonatePrivilege
- SeIncreaseBasePriorityPrivilege
It creates the following named pipe:
- \.\pipe\__rust_anonymous_pipe1__.3860.{Number Count}
It repeatedly clears all event logs in the system.
It retrieves the DNS hostnames of all computers in an Active Directory domain before encrypting them.
It deletes all shadow copies and disables automatic startup of Volume Shadow Copy Service

解决方案

最小扫描引擎: 9.800

First VSAPI Pattern File: 19.688.05

VSAPI 第一样式发布日期: 2024年10月31日

VSAPI OPR样式版本: 19.689.00

VSAPI OPR样式发布日期: 2024年11月1日

Step 2

对于Windows ME和XP用户，在扫描前，请确认已禁用系统还原功能，才可全面扫描计算机。

Step 3

注意：在此恶意软件/间谍软件/灰色软件执行期间，并非所有文件、文件夹和注册表键值和项都会安装到您的计算机上。这可能是由于不完整的安装或其他操作系统条件所致。如果您没有找到相同的文件/文件夹/注册表信息，请继续进行下一步操作。

Step 4

重启进入安全模式

[ 更多 ]

Step 5

删除该注册表值

[ 更多 ]

注意事项：错误编辑Windows注册表会导致不可挽回的系统故障。只有在您掌握后或在系统管理员的帮助下才能完成这步。或者，请先阅读Microsoft文章，然后再修改计算机注册表。

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- *{Random Letters} = "{Malware Path}\{Malware Filename}" --password {Password} --no-admin

Step 6

恢复该修改的注册表值

[ 更多 ]

In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\FileSystem
- SymlinkRemoteToLocalEvaluation = 1
In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\FileSystem
- SymlinkRemoteToRemoteEvaluation = 1
In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
- EnableLinkedConnections = 1
In HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\LanmanServer\Parameters
- MaxMpxCt = 65535
In HKEY_CURRENT_USERS\Control Panel\Desktop
- Wallpaper = %User Temp%\{Random Letters}.jpg
In HKEY_USERS\.DEFAULT\Control Panel\Desktop
- Wallpaper = %User Temp%\{Random Letters}.jpg
In HKEY_USERS\{LOCAL SERVICE SID}\Control Panel\Desktop
- Wallpaper = %User Temp%\{Random Letters}.jpg
In HKEY_USERS\{NETWORK SERVICE SID}\Control Panel\Desktop
- Wallpaper = %User Temp%\{Random Letters}.jpg
In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Personalization
- LockScreenImagePath = %User Temp%\{Random Letters}.jpg
In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Personalization
- LockScreenImageUrl = %User Temp%\{Random Letters}.jpg
In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Personalization
- LockScreenImageStatus = 1
In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\PersonalizationCSP
- LockScreenImagePath = %User Temp%\{Random Letters}.jpg
In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\PersonalizationCSP
- LockScreenImageUrl = %User Temp%\{Random Letters}.jpg
In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\PersonalizationCSP
- LockScreenImageStatus = 1

删除恶意软件/灰色软件/间谍软件修改的注册表键值：

打开注册表编辑器。依次单击开始>运行，输入REGEDIT，然后回车确认。
在左侧窗格中，双击下列各项：
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\FileSystem
在右侧窗格中找到注册表值：
SymlinkRemoteToLocalEvaluation = 1
右键单击数值名称，然后选择”修改”。将该条目的数值数据更改为：
SymlinkRemoteToLocalEvaluation = 0
Again 在右侧窗格中找到注册表值：
SymlinkRemoteToRemoteEvaluation = 1
右键单击数值名称，然后选择”修改”。将该条目的数值数据更改为：
SymlinkRemoteToRemoteEvaluation = 0
在左侧窗格中，双击下列各项：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
在右侧窗格中找到注册表值：
EnableLinkedConnections = 1
右键单击数值名称，然后选择”修改”。将该条目的数值数据更改为：
EnableLinkedConnections = 0
在左侧窗格中，双击下列各项：
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\LanmanServer\Parameters
在右侧窗格中找到注册表值：
MaxMpxCt = 65535
右键单击数值名称，然后选择”修改”。将该条目的数值数据更改为：
MaxMpxCt = {Default Value}
在左侧窗格中，双击下列各项：
HKEY_CURRENT_USERS\Control Panel\Desktop
在右侧窗格中找到注册表值：
Wallpaper = %User Temp%\{Random Letters}.jpg
右键单击数值名称，然后选择”修改”。将该条目的数值数据更改为：
Wallpaper = {Default Image}
在左侧窗格中，双击下列各项：
HKEY_USERS\.DEFAULT\Control Panel\Desktop
在右侧窗格中找到注册表值：
Wallpaper = %User Temp%\{Random Letters}.jpg
右键单击数值名称，然后选择”修改”。将该条目的数值数据更改为：
Wallpaper = {Default Image}
在左侧窗格中，双击下列各项：
HKEY_USERS\{LOCAL SERVICE SID}\Control Panel\Desktop
在右侧窗格中找到注册表值：
Wallpaper = %User Temp%\{Random Letters}.jpg
右键单击数值名称，然后选择”修改”。将该条目的数值数据更改为：
Wallpaper = {Default Image}
在左侧窗格中，双击下列各项：
HKEY_USERS\{NETWORK SERVICE SID}\Control Panel\Desktop
在右侧窗格中找到注册表值：
Wallpaper = %User Temp%\{Random Letters}.jpg
右键单击数值名称，然后选择”修改”。将该条目的数值数据更改为：
Wallpaper = {Default Image}
在左侧窗格中，双击下列各项：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Personalization
在右侧窗格中找到注册表值：
LockScreenImagePath = %User Temp%\{Random Letters}.jpg
右键单击数值名称，然后选择”修改”。将该条目的数值数据更改为：
LockScreenImagePath = {Default Image Path}
Again 在右侧窗格中找到注册表值：
LockScreenImageUrl = %User Temp%\{Random Letters}.jpg
右键单击数值名称，然后选择”修改”。将该条目的数值数据更改为：
LockScreenImageUrl = {Default Image URL}
Again 在右侧窗格中找到注册表值：
LockScreenImageStatus = 1
右键单击数值名称，然后选择”修改”。将该条目的数值数据更改为：
LockScreenImageStatus = {Default Value}
在左侧窗格中，双击下列各项：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\PersonalizationCSP
在右侧窗格中找到注册表值：
LockScreenImagePath = %User Temp%\{Random Letters}.jpg
右键单击数值名称，然后选择”修改”。将该条目的数值数据更改为：
LockScreenImagePath = {Default Image Path}
Again 在右侧窗格中找到注册表值：
LockScreenImageUrl = %User Temp%\{Random Letters}.jpg
右键单击数值名称，然后选择”修改”。将该条目的数值数据更改为：
LockScreenImageUrl = {Default Image URL}
Again 在右侧窗格中找到注册表值：
LockScreenImageStatus = 1
右键单击数值名称，然后选择”修改”。将该条目的数值数据更改为：
LockScreenImageStatus = {Default Value}
关闭注册表编辑器。

Step 7

搜索和删除这些文件

[ 更多 ]

有些组件文件可能是隐藏的。请确认在"高级选项"中已选中搜索隐藏文件和文件夹复选框，使查找结果包括所有隐藏文件和文件夹。

%User Temp%\atx.bat
%User Temp%\QLOG\ThreadId({Number}).LOG
%User Temp%\{Random Letters}.jpg
{Encrypted Path}\README-RECOVER-FFzjdLtZ4C.txt

DATA_GENERIC_FILENAME_1

在查找范围下拉列表中，选择

我的电脑然后回车确认。

一旦找到，请选择文件，然后按下SHIFT+DELETE彻底删除文件。

对剩余的文件重复第2到4步： %User Temp%\atx.bat
%User Temp%\QLOG\ThreadId({Number}).LOG
%User Temp%\{Random Letters}.jpg
{Encrypted Path}\README-RECOVER-FFzjdLtZ4C.txt

Step 8

搜索和删除这一文件夹

[ 更多 ]

请确认在高级选项中已选中搜索隐藏文件和文件夹复选框，使查找结果包括所有隐藏文件夹。;
%User Temp%\QLOG

删除恶意软件/灰色软件/间谍软件文件夹：

右键单击然后搜索...或查找...（具体取决于您运行的Windows版本）。

在“要搜索的文件或文件夹名为”输入框，输入：

%User Temp%\QLOG

在查找范围下拉列表中，选择
我的电脑然后回车确认。

一旦找到，请选择文件夹，然后按下SHIFT+DELETE彻底删除文件夹。

Step 9

重启进入正常模式，使用亚信安全产品扫描计算机，检测Ransom.MSIL.AGENDA.THJCOBD文件如果检测到的文件已被亚信安全产品清除、删除或隔离，则无需采取进一步措施。可以选择直接删除隔离的文件。请参阅知识库页面了解详细信息。

Step 10

从备份中恢复加密文件。

Step 11

重置桌面壁纸

[ 更多 ]

Step 12

使用亚信安全产品扫描计算机，并删除检测到的Ransom.MSIL.AGENDA.THJCOBD文件如果检测到的文件已被亚信安全产品清除、删除或隔离，则无需采取进一步措施。可以选择直接删除隔离的文件。请参阅知识库页面了解详细信息。