| 風險等級: |
高度威脅 |
| 摘 要: |
病毒通告:Trojan.Inject6.30933 病毒 |
| 解決辦法: |
為防止系統受到該木馬的影響,建議管理者:?
隔離受感染設備: 發現檔案路徑或異常網路連線後,應立即切斷該設備的網路連線,防止病毒進一步與 C2 伺服器通訊。
專業掃描清理:
使用最新版本的資安防護軟體進行全盤掃描。
若系統已無法正常啟動,建議從 USB 或 CD 引導系統,在離線狀態下進行病毒清除。
手動排查與備份: 檢查 %WINDIR%\syswow64\gwdbeay\ 及 %WINDIR%\2.ini 等異常檔案。在進行手動刪除前,請務必先備份重要數據。
版本更新與防護: 確保 Windows 系統已安裝最新安全更新,並禁止從非官方管道下載、執行未知軟體。 |
| 細節描述: |
Trojan.Inject6.30933 是一種具備高度偽裝能力的惡意木馬程式。根據最新技術分析,該病毒被添加到病毒庫的時間為 2026 年 3 月 22 日。其主要危害在於將惡意程式碼注入到合法的系統程序 %WINDIR%\syswow64\svchost.exe 中執行,藉此逃避安全軟體的行為監控,並在受感染系統上執行非法指令。
二、 技術特徵 (IOCs)
根據實驗室分析,該病毒感染後會在系統中留下以下痕跡,請管理者與使用者加強排查:
1. 程序注入目標
注入對象: %WINDIR%\syswow64\svchost.exe (典型的系統服務主機程式)。
2. 檔案系統異動 (關鍵檔案路徑)
病毒會在以下目錄創建大量偽裝檔案及配置檔:
系統輔助目錄: * %WINDIR%\syswow64\help\0202021dsfsd.ini
%WINDIR%\syswow64\help\1.gwdbeay
%WINDIR%\help\gwdbeay.hlp
惡意執行檔與其配置:
%WINDIR%\syswow64\gwdbeay\gwdbeay\vpmnjfh\mpaumey.exe (核心惡意執行檔)
\spool\drivers\w32x86\3\wdbeayg\wdbeayg.exe (利用列印驅動路徑隱藏)
資源回收桶偽裝檔案: * 於 D:\recycler\s-1-5-18\dc8\wdbeayg\ 目錄下產生大量 .imd 後綴的數據檔案。
3. 網路活動特徵
外部連線: 病毒會嘗試建立與 IP 地址 11#.#47.137.132 (隱碼處理) 之 8687 端口 的連接。這通常用於接收遠端控制指令或回傳敏感數據。
HiNet SOC 建議使用者不定期更新病毒碼,以降低受駭風險。
https://hisecure.hinet.net/secureinfo/hotnews.php |
| 參考資訊: |
drweb
|
| |
