| 細節描述: |
1. 基本資訊
病毒名稱: Trojan.MulDrop34.56636
病毒類型: 投放器(Dropper / Trojan)
2. 行為特徵與持久化(Persistence)
該病毒的主要目標是在系統中紮根,確保每次開機後都能自動執行:
偽裝手段: 假冒成 Microsoft Outlook 的相關組件(Outlook CLI Manager)。
自動啟動機制: 利用 Windows 內建的「工作排程器」建立自動執行項。
排程任務名稱: Outlook CLI Manager Update
觸發條件: 使用者登入系統時(ONLOGON)。
執行權限: 系統最高權限(HIGHEST privilege)。
執行狀態: 隱藏視窗(Hidden window)執行,使用者難以覺察。
3. 檔案系統修改清單
病毒會在以下路徑建立並操作檔案:
惡意執行檔: * %LOCALAPPDATA%\outlook\outlookcli\dllmanager\dllmanager.exe (此檔案會被設定為隱藏屬性)
組態與日誌檔:
%LOCALAPPDATA%\winsxslogs\session_hwid.txt (推測用於記錄硬體識別資訊)
排程任務定義檔:
\tasks\outlook cli manager update
HiNet SOC 建議使用者不定期更新病毒碼,以降低受駭風險。
https://hisecure.hinet.net/secureinfo/hotnews.php |
