| 風險等級: |
低度威脅 |
| 摘 要: |
病毒通告:Backdoor.Win64.COBEACON.ZCLG 惡意病毒 |
| 解決辦法: |
步驟1:
在進行任何掃描之前,Windows 7、Windows 8、Windows 8.1 和 Windows 10 使用者必須停用系統還原以允許對其電腦進行完整掃描。
第2步:
識別並終止檢測為 Backdoor.Win64.COBEACON.ZCLG 的文件
步驟3:
使用防毒軟體掃描您的主機,刪除偵測為 Backdoor.Win64.COBEACON.ZCLG 的檔案。如果偵測到的檔案已被清理、刪除或隔離,則無需執行進一步的步驟。您可以選擇只刪除隔離的檔案。 |
| 細節描述: |
Backdoor.Win64.COBEACON.ZCLG 被視為一種惡意病毒,該後門程式以其他惡意軟體丟棄的檔案或使用者在存取惡意網站時無意中下載的檔案的形式進入受影響系統。
它執行來自遠端惡意使用者的指令,有效地損害受影響的系統。
該後門程式執行來自遠端惡意使用者的以下命令:
連接和斷開到命名管道
升級權限
執行任意指令
模仿tokens
將程式碼注入進程
管理目錄(建立、刪除、設定目錄)
管理文件(清單、建立、刪除、修改、重新命名、複製)
管理流程(列出、建立、終止)
列出驅動器資訊
使用/清除 Kerberos 票證
此後門收集以下數據:
使用者名稱
電腦名稱
作業系統版本
載入樣本的可執行檔
此後門需要以下附加組件才能正常運作:
%windows%\ assembly\msco.conf → 偵測為Backdoor.Win64.COBEACON.ZCLG.enc
它執行以下操作:
此範例需要位於 %windows%\Assembly 目錄中,且檔案名稱為「mscorsvc.dll」才能正確執行。
它由普通檔案 Mscorsvw.exe 載入,該檔案是 Windows 的一個元件,也稱為 .NET Framework Optimization Service。
需要作為服務執行。
HiNet SOC 建議使用者不定期更新病毒碼,以降低受駭風險。
https://hisecure.hinet.net/secureinfo/hotnews.php |
| 參考資訊: |
trendmicro
|
| |
