| 風險等級: |
低度威脅 |
| 摘 要: |
病毒通告:Backdoor.Win64.LEGIRAT.A 惡意病毒 |
| 解決辦法: |
步驟1:
在進行任何掃描之前,Windows 7、Windows 8、Windows 8.1 和 Windows 10 使用者必須停用系統還原以允許對其電腦進行完整掃描。
步驟2:
在此惡意軟體執行期間,並非所有檔案、資料夾以及登錄項目和條目都會安裝在您的電腦上。這可能是由於安裝不完整或其他作業系統條件造成的。如果您沒有找到相同的文件/資料夾/註冊表資訊,請繼續執行下一步驟。
步驟3:
使用防毒軟體掃描您的主機,刪除偵測為 Backdoor.Win64.LEGIRAT.A 的檔案。如果偵測到的檔案已被清理、刪除或隔離,則無需執行進一步的步驟。您可以選擇簡單地刪除隔離的檔案。 |
| 細節描述: |
Backdoor.Win64.LEGIRAT.A 被視為一種惡意病毒,該後門程式以其它惡意軟體丟棄的檔案或使用者在存取惡意網站時無意中下載的檔案的形式進入受影響系統。
該後門程式添加了以下互斥鎖,以確保任一時間僅執行其副本之一:
cab0a9b41f6e44c24b9fd412b5e538c0
該後門程式收集以下資訊:
電腦名稱
使用者名稱
電腦的語言環境設定
該後門程式連接到以下 URL 以檢查 Internet 連線:
https://www.bing.com
該後門執行以下其它常見操作:
(1) 它模擬登入用戶。
(2) 它使用以下 URL 將 Slack 的 API 用於惡意目的:
https://{BLOCKED}k.com/api/chat.postMessage
https://{BLOCKED}k.com/api/chat.update
https://{BLOCKED}k.com/api/chat.delete
https://{BLOCKED}k.com/api/files.upload?&channels=
https://{BLOCKED}k.com/api/conversations.list?exclude_archived=true
https://{BLOCKED}k.com/api/conversations.create
https://{BLOCKED}k.com/api/conversations.history?limit=200&channel=
(3) Slack 通訊是透過使用此硬編碼身份驗證 Token 建立的:
{BLOCKED}26427959425-5707141283990-5726497507873-511646c6920d425fc62e147145bc56db → 無法存取;Token 被撤銷
(4) 它檢查以下文件是否存在,以便繼續執行其預期的例程:
list.txt → 加密的有效負載
output.txt → 加密的有效負載
(5) 它使用以下 URL 檢索其加密元件以與 Slack 工作區通訊:
https://{BLOCKED}l.xlog.app/Hello-Web3
https://{BLOCKED}ell.io/notes/58434-2
HiNet SOC 建議使用者不定期更新病毒碼,以降低受駭風險。
https://hisecure.hinet.net/secureinfo/hotnews.php |
| 參考資訊: |
trendmicro
|
| |
