原文链接：https://blog.radware.com/security/2018/07/micropsia-malware/

micropsia是一个自2018年6月开始的网络攻击，主要针对巴基斯坦官方。

下图为其目标分布图：

该病毒的传播手段和大部分病毒类似，都是通过钓鱼邮件，传播有毒的文件。这次的文件是一个新闻报道，但当这个文件被打开时，它会自动在后台下载并打开病毒文件。

这个病毒出众的地方在于它庞大的军火库：

• Microphone recording 麦克风录音
• Document stealing from connected USB flash drives 从USB闪存盗取文件
• Screen capturing 截屏
• Keylogging 键盘记录
• Document stealing from hard drive 从硬盘盗取文件
• Scanning all drives – full directory listing without filters 扫描所有文件
• Get files by specific path 通过文件路径获取文件
• Download and execute an arbitrary executable 下载并运行其他exe文件
• Update malware executable 病毒更新

该病毒的一些特点：

1.麦克风录音

这是一个比较高端的能力，大部分病毒都没有这个功能。

该病毒使用了Winmm.mciSendString API来控制计算机麦克风。当C2服务器发送下图命令至目标计算机时，这个API就会开始录音。

下图则是停止录音的命令：

2. USB文件盗取：

首先该病毒可以设定“USB volume insertion”事件来检测是否有USB插入该电脑。一旦该事件被触发，这个病毒就会用RAR工具来寻找文件后缀(*.xls, *.xlsx, *.csv, *.odt, *.doc, *.docx, *.ppt, *.pptx, *.pdf, *.mdb, *.accdb, *.accde, *.txt)从而盗取该USB内的文件。

3. 截屏和键盘记录

该病毒通过利用Gdi32.BitBlt API，每90秒截屏一次，并保存为未加密的jpeg格式文件，名字为截图的时间，后缀为写死的.his。

该病毒还可以利用user32.GetKeyState API来记录用户的键盘输入。它还可以在用户输入Ctrl+C时，盗取剪切板中的内容。这些记录都会配有其时间，记录在一个log文件中，后缀为.slog。

4.存储管理

大部分病毒都会把收集到的信息进行加密处理，再发送至C2服务器。而micropsia则是通过使用WinRAR对文件进行压缩。

该病毒会先在以下文件夹搜索是否有WinRAR程序：

如果没有的话，它就会自动为目标安装一个WinRAR。

然后它就会用以下命令每15分钟为每一个文件类型单独创建一个压缩包，将收集到的资料存入其中：

5.与C2服务器的交流：

病毒会自动每隔一段时间像C2服务器发送GET请求，而服务器会返回一个json文件，远程操作该病毒进行操作：

可用的命令：