| 風險等級: |
低度威脅 |
| 摘 要: |
病毒通告:Virus.X97M.SLACKER.L 病毒 |
| 解決辦法: |
為防止系統受到該病毒的影響,建議使用者:?
步驟 1
在進行任何掃描之前,Windows 7、Windows 8、Windows 8.1 和 Windows 10 使用者必須先停用系統還原功能,以便能夠全面掃描電腦。
步驟 2
請注意,在惡意程式 / 間諜程式 / 灰色程式執行期間,不是所有檔案、資料夾和登錄機碼 / 項目都會被安裝到您的電腦中。這可能是因為安裝不完整或作業系統狀況不同所致。若您未找到相同的檔案、資料夾或登錄資訊,請繼續執行下一步。
步驟 3
搜尋並刪除以下檔案:
%Application Data%\Microsoft\Excel\XLSTART\book1
有些檔案可能是隱藏的。請確認您在「更多進階選項」中勾選了「搜尋隱藏的檔案和資料夾」選項,以將所有隱藏檔案與資料夾納入搜尋結果中。
步驟 4
請使用防毒軟體掃描您的電腦,以刪除被偵測為 Virus.X97M.SLACKER.L 的檔案。如果該檔案已被防毒軟體清除、刪除或隔離,則無需採取其他動作。您可以選擇刪除這些隔離的檔案。 |
| 細節描述: |
此病毒會以其他惡意軟體丟棄的檔案形式,或使用者在瀏覽惡意網站時不經意下載的檔案形式進入系統。
此病毒會執行以下動作:
當使用者開啟未受感染的工作簿,或切換到另一個工作簿(其 ThisWorkbook 程式碼未以「OOO」開頭)時:
病毒會將完整的惡意 VBA 程式碼注入目標工作簿的 ThisWorkbook 模組中。
感染會擴散到使用者之後開啟的每一個未感染工作簿。
為了維持持久性,病毒會在 Excel 的啟動資料夾中投放以下惡意檔案:
檔名:%Application Data%\Microsoft\Excel\XLSTART\book1
內容:包含惡意巨集程式碼的工作簿
觸發條件:當使用者從受感染的工作簿切換至其他工作簿時產生
效果:每次啟動 Excel 時自動並靜默開啟,以利進一步擴散
病毒會為每個受感染的工作簿建立以下隱藏備份:
路徑:C:\TMP\{原始檔案名稱}.xlsm
當開啟受感染的工作簿時,若其中包含名為 "Controls" 的工作表:
它會啟用該工作表,並捲動至名為 "DashboardScenario" 的儲存格範圍(如果存在的話)。
如果沒有該範圍,則預設切換至第一個可見的工作表。
HiNet SOC 建議使用者不定期更新病毒碼,以降低受駭風險。
https://hisecure.hinet.net/secureinfo/hotnews.php |
| 參考資訊: |
Trend Micro
|
| |
