病毒通告:Trojan.Inject 病毒
2026-02-25
風險等級: 低度威脅
摘  要: 病毒通告:Trojan.Inject 病毒
影響系統:
解決辦法: 為防止系統受到該木馬的影響,建議使用者:? 1. 如果作業系統 (OS) 仍可正常啟動 若系統可以正常載入(無論是正常模式或安全模式): 請下載 Dr.Web Security Space 軟體。 對您的電腦以及所有使用的可移動式儲存媒體(如隨身碟、外接硬碟)執行「全系統掃描」。 2. 如果作業系統 (OS) 無法啟動 若木馬導致系統損壞而無法開機: 更改 BIOS/UEFI 設定: 將系統設定為從 CD 或 USB 磁碟機開機。 下載修復映像檔: 下載緊急系統修復工具 Dr.Web? LiveDisk。 製作開機媒體: 將該映像檔燒錄至 CD/DVD,或製作成開機隨身碟。 執行掃描: 使用此媒體啟動電腦後,執行「全系統掃描」並清除所有偵測到的威脅。
細節描述: 這個木馬屬於典型的注入型木馬,主要特徵是透過修改登錄檔「Run」程式碼來達成常駐,並隱藏在系統合法的 .NET AppLaunch 程序中執行。最後它會嘗試刪除原始檔案來湮滅證據。

1. 自我啟動與散播 (Persistence)
為了確保在系統重啟後能自動執行,該木馬會修改以下登錄檔 (Registry Keys):
路徑: [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
數值名稱: 666999666
數值內容: %TEMP%\<檔案名稱>.exe

2. 惡意功能 (Malicious Functions)
此木馬會將惡意代碼注入 (Inject) 至以下系統程序中:
%WINDIR%\microsoft.net\framework\v4.0.30319\applaunch.exe

3. 檔案系統變動 (File System Changes)
建立以下檔案:
%TEMP%\<檔案名稱>.exe
%LOCALAPPDATA%\microsoft\clr_v4.0_32\usagelogs\<檔案名稱>.exe.log
屬性修改:
會將以下路徑的檔案設定為「隱藏」屬性:

<檔案完整路徑>

4. 其他行為 (Miscellaneous)
該木馬會執行以下指令:
啟動 .NET Framework 輔助程式:%WINDIR%\microsoft.net\framework\v4.0.30319\applaunch.exe
執行命令提示字元進行自我刪除(延遲 1 秒後強制刪除原始執行檔):
\'%WINDIR%\syswow64\cmd.exe\' /c timeout /t 1 && DEL /f <檔案名稱>.exe
執行延遲指令:\'%WINDIR%\syswow64\timeout.exe\' /t 1

HiNet SOC 建議使用者不定期更新病毒碼,以降低受駭風險。
https://hisecure.hinet.net/secureinfo/hotnews.php
參考資訊: drweb