 |
| 病毒通告:Trojan.MSIL.Crypt 病毒 |
2025-11-24 |
| 風險等級: |
低度威脅 |
| 摘 要: |
病毒通告:Trojan.MSIL.Crypt 病毒 |
| 解決辦法: |
為防止系統受到該木馬的影響,建議使用者:?
1.實施嚴格的檔案和郵件審核:
不執行來自不可信來源或非官方網站下載的軟體或文件。特別警惕電子郵件中的可執行檔 (.exe)、指令碼文件 (.bat, .js, .vbs) 或要求啟用巨集 (Macro) 的 Office 附件。
2.確保安全防護程式隨時運作:
啟用並保持更新信譽良好的第三方防毒軟體,或者確保 Windows Defender 始終處於實時保護狀態。
3.定期檢查 Windows Update 服務,確保其開啟並自動下載安裝最新的安全補丁,以堵塞已知的系統漏洞。
使用標準使用者帳戶進行日常操作:
日常使用電腦時,應使用權限受限的標準使用者帳戶,而非系統管理員 (Administrator) 帳戶。
這可以限制惡意軟體在未經您明確同意的情況下,對核心系統設定進行更改(例如禁用服務或修改 UAC)。 |
| 細節描述: |
此病毒Trojan.MSIL.Crypt 的主要行為是繞過防毒和更新機制,並執行其他惡意程式 (gfkmznktfsqirdalu.exe),同時嘗試透過 DNS 查詢與外部伺服器進行網路通訊。
以下為惡意活動步驟簡述:
1. 規避和禁用系統安全機制 (Evasion and Disabling Security)
禁用重要服務: 阻擋 Windows Defender 和 Windows Update 的執行。
繞過控制: 阻擋 使用者帳戶控制 (UAC) 功能。
2. 檔案部署與隱藏 (File Deployment and Hiding)
建立惡意檔案: 建立新的可執行檔 (gfkmznktfsqirdalu.exe) 和兩個批次檔(.bat)在系統暫存資料夾 (%TEMP%)。
隱藏軌跡: 將這兩個批次檔設定為隱藏屬性。
3. 執行破壞與網路通訊 (Execution and Communication)
執行核心惡意程式: 執行新建立的惡意可執行檔。
大規模停止服務: 透過 cmd.exe 和 sc.exe 指令,重複且強制性地停止多個關鍵服務,包括:
WinDefend (Windows Defender)
wuauserv (Windows Update)
WdNisSvc (Defender 網路檢查服務)
WerSvc (錯誤報告服務)
備註:許多停止服務的指令是以隱藏視窗執行的,目的是不被使用者察覺。
網路連線嘗試: 進行 DNS 查詢到特定外部網域(au##.#eprimere.shop, au##.#nknownp.one),試圖與命令與控制(C&C)伺服器建立聯繫。
執行指令移除檔案的隱藏屬性(可能為清除自身或再次利用)。
HiNet SOC 建議使用者不定期更新病毒碼,以降低受駭風險。
https://hisecure.hinet.net/secureinfo/hotnews.php |
| 參考資訊: |
drweb
|
| |
|
|
 |
