| 風險等級: |
低度威脅 |
| 摘 要: |
病毒通告:TrojanSpy.Win64.CRYPTWOFOUR.THGAHBE 木馬病毒 |
| 解決辦法: |
為防止系統受到該木馬的影響,建議使用者:
步驟 1
可以使用機器學習功能類型的防毒軟體,當惡意軟體頭一次出現跡象時(惡意軟體在您的系統上執行之前)偵測並封鎖。
步驟 2
在進行任何掃描之前,Windows 7、Windows 8、Windows 8.1 和 Windows 10 使用者必須先停用系統還原功能,以便能夠全面掃描電腦。
步驟 3
請注意,在惡意程式 / 間諜程式 / 灰色程式執行期間,不是所有檔案、資料夾和登錄機碼 / 項目都會被安裝到您的電腦中。這可能是因為安裝不完整或作業系統狀況不同所致。若您未找到相同的檔案、資料夾或登錄資訊,請繼續執行下一步。
步驟 4
搜尋並刪除以下檔案:
(1)%Temp%\test.txt
(2)%Temp%\tmp.bat
步驟 5
請使用防毒軟體掃描您的電腦,以刪除被偵測為TrojanSpy.Win64.CRYPTWOFOUR.THGAHBE 的檔案。如果該檔案已被防毒軟體清除、刪除或隔離,則無需採取其他動作。您可以選擇刪除這些隔離的檔案。 |
| 細節描述: |
此木馬會以其他惡意軟體植入的檔案或使用者造訪惡意網站時,或使用者在瀏覽惡意網站時不經意下載的檔案形式進入系統。
系統遭感染時會植入以下文件:
(1)%Temp%\test.txt → 包含任意指令執行的結果。
(2)%Temp%\tmp.bat → 當指令執行方法設定為 1 時建立此檔案。
該病毒可使遠端攻擊者執行以下命令:
(1)1 → 透過批次檔執行
(2)其他 → 透過 Shell 直接執行
該病毒會自行連接到以下 URL 來下載惡意檔案:
https://www.{BLOCKED}apis.com/drive/v3/files/{file_id}
該病毒會在受感染的電腦上蒐集以下資訊:
(1)電腦名稱
(2)使用者名稱
該病毒會執行以下操作:
(1)只有當病毒持續執行時,才會繼續執行其惡意程式。
(2)記錄所有鍵盤輸入。
(3)記錄剪貼簿資料文字變化。
(4)病毒會產生一個檔案名稱來執行任意命令:{電腦名稱}_{使用者名稱}_Test.txt
(5)病毒會連接到指定的 URL 來上傳 %Temp%\test.txt 檔案:https://www.{BLOCKED}apis.com/upload/drive/v3/files?uploadType=multipart
(6)指令執行後,系統重新連接到指定的URL以刪除與受害者關聯的檔案:https://www.{BLOCKED}apis.com/drive/v3/files/{file_id}
(7)病毒連接到指定的URL以搜尋受害者ID,以便查詢要執行的命令:https://www.{BLOCKED}apis.com/drive/v3/files?q=name=\'{電腦名稱}_{使用者名稱}_Test.txt\'
HiNet SOC 建議使用者不定期更新病毒碼,以降低受駭風險。
https://hisecure.hinet.net/secureinfo/hotnews.php |
| 參考資訊: |
Trend Micro
|
| |
