AutoHotKey (AHK) 是一种开源脚本语言，专为 Windows 操作系统开发，用于创建热键和创建脚本来模拟键盘、鼠标输入，操作窗口等一系列复杂自动化任务。自其诞生以来，AHK 已成为提升生产力的利器，广泛用于个人和企业环境。然而，和许多技术一样，它也常被用于恶意软件制作，Babonock病毒即是其中臭名昭著的一个家族，它是一种通过将自身复制到可移动存储设备而传播的蠕虫,用来窃取受感染计算机的信息和加载更新木马等。

     近日，奇安信病毒响应中心监测到诞生了13年的Babonock蠕虫病毒或将卷土重来。起因，有客户反馈其设备被天擎识别到病毒感染，想要获取详细的病毒分析信息，经分析人员分析发现其为AutoHotKey打包的PE程序，包含键盘监控、伪装成系统进程、移动介质传播和FTP文件操作等恶意行为。

    依大数据能力，通过大量同家族样本统计分析，我们发现此家族样本最早发现于2011年，创建时间戳也多显示为2011年，但经过分析后确认其时间戳是恶意软件开发人员人为设置的。奇安信病毒响应中心观察到，此家族近期攻击活动加剧，大有卷土重来的架势，截取最近10日的设备感染量如下：

    蠕虫病毒攻击从病毒传播维度泛化来说可分为主动和被动两种方式。被动攻击为网络社工手段传播，伪装成诱饵文件，通过SEO、社交工具和电子邮件等渠道传播，此方式常需要受害者进行相应操作；主动方式则是移动存储设备传播，通过监听插入的移动存储设备，如U盘、移动硬盘、SD卡等，自动复制自己到设备中，此过程不需要受害者参与。

    此次关联到的Babonock家族样本量达2000+，并且有很大一部分是2024年收录的，单次攻击主要分为PE程序和AutoHotKey脚本文件：

    恶意软件攻击投递时，通过伪装成各种诱饵文件进行分发，从其伪装的名称常常能发现其攻击的目标。此次关联的样本名称语言包含中文、英语、俄语和日语；行业涉及政府、教育、医疗、企业等；它们伪装成工具插件、学习资料、安全软件、工作文档、个人资料等软件。

诱饵文件是由AutoHotKey自动化脚本打包成的PE程序。

    对诱饵程序进行解密提取脚本文件，可以看到其主要功能包含复制自身伪装成rundll32.exe程序，并将其通过注册表进行持久化；设置隐藏文件后缀；键盘监控；USB设备监听；FTP连接发送用户数据和远端负载下载等。

    通过复制自身伪装成系统进程rundll32.exe、创建隐藏的文件夹和文件和修改注册表启动项等手段，属于一种文件夹病毒，普通用户感染后很难发现。

    脚本中使用了 wininet.dll 动态链接库中的函数来管理FTP连接，执行包括连接、上传、下载、创建文件夹、删除文件和遍历目录等操作。

    脚本能通过不断获取当前活动窗口标题并记录用户键盘输入，将用户输入按自定义格式写入记录日志中，当日志文件的大小超过某个阈值时，将文件上传到 FTP 服务器。

    监控USB端口，当检测到有新的可移动设备插入时，会复制恶意程序到新插入的驱动器，并设置文件的隐藏属性。

    程序每 30 分钟自动执行一次check，通过FTP下载并执行潜在的恶意更新文件。

    在蠕虫运行过程中，天擎主防已从病毒各个维度进行拦截，精准识别出此文件夹病毒。

MD5

2EB5D76180CE7B3241B281FA79AB3483

20BD618105689FEFE02CAE0342B581C1

C&C

185.27.134.11