病毒通告:Trojan.MulDrop 病毒
2026-01-27
風險等級: 低度威脅
摘  要: 病毒通告:Trojan.MulDrop 病毒
解決辦法: 為防止系統受到該木馬的影響,建議使用者:? 清除建議步驟: 1.中斷網路連線:防止木馬進一步下載其他惡意組件或與 C2 伺服器回報。 2.結束異常程序:使用任務管理員檢查是否有異常的 .exe 程序在執行(特別是與檔案 路徑相關的程序)。 手動清理(進階): 1.刪除註冊表項目 WinDed。 2.前往 %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\ 刪除 winded.lnk。 搜尋並刪除 _2149.exe。 完整掃描:由於這是 2026 年 1 月才加入病毒庫的新病毒,請確保您的防毒軟體(如 Dr.Web 或其他主流軟體)已更新至最新版本並執行全系統掃描。
細節描述: Trojan.MulDrop35.28587,這是一種典型的「木馬投放器」(Trojan Dropper),其主要目的是在受害電腦上植入並執行其他惡意程式(Payload)。

技術分析與行為描述
這款木馬的主要目標是確保自己在系統重啟後能自動執行,並在檔案系統中留下副本。

1. 持久化機制 (Persistence)
為了確保電腦開機後自動執行,該病毒使用了兩種常見的 Windows 機制:
註冊表修改:它在 RunOnce 鍵值中建立了名為 WinDed 的項目。
[HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce]
特性:RunOnce 下的程式會在使用者下次登入時執行一次,執行後該註冊表項通常會被系統自動刪除,這是一種規避某些簡單安全檢查的手段。

啟動資料夾:它在使用者的「啟動」目錄下建立了一個捷徑檔案:
%APPDATA%\microsoft\windows\start menu\programs\startup\winded.lnk
這確保了每次使用者登入時,惡意程式都會被觸發。

2. 檔案系統操作 (File System Modification)
該病毒會在系統中產生新的執行檔:

釋放檔案:_2149.exe。
行為:這通常是「投放器」的核心行為,它會將內嵌在自己體內的另一個惡意程式(可能是勒索軟體、間諜軟體或後門)解壓縮並寫入硬碟後執行。


HiNet SOC 建議使用者不定期更新病毒碼,以降低受駭風險。
https://hisecure.hinet.net/secureinfo/hotnews.php
參考資訊: drweb