| 風險等級: |
高度威脅 |
| 摘 要: |
病毒通告:Trojan.Siggen32.33654 病毒 |
| 解決辦法: |
為防止系統受到該木馬的影響,建議使用者:?
清除建議步驟:
1.中斷網路連線:防止木馬進一步下載其他惡意組件或與 C2 伺服器回報。
2.結束異常程序:使用任務管理員檢查是否有異常的 .exe 程序在執行(特別是與檔案 路徑相關的程序)。
手動清理(進階):
1.立即隔離與移除: 立即隔離受惡意檔案影響之主機。
2.進行完整系統掃描: 使用可靠的安全軟體執行「完整掃描」,確保沒有其他殘留的檔案。
3.檢查啟動項: 檢查 Windows 任務管理員或啟動資料夾,移除可疑的自動啟動程式。
4.修改關鍵密碼: 由於此木馬可能竊取資料,建議在移除後更改該主機上有使用的密碼。
完整掃描:由於這是 2026 年 4 月才加入病毒庫的新病毒,請確保您的防毒軟體已更新至最新版本並執行全系統掃描。 |
| 細節描述: |
這個木馬屬於典型的注入型木馬,主要特徵是透過修改登錄檔「Run」程式碼來達成常駐,並利用 svchost.exe 載入惡意 DLL 以隱匿執行,同時透過程序注入並擴散其控制能力。
1. 自我啟動與散播 (Persistence)
修改以下註冊表??項
[HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run] \'zivcxclutqxapalmfq\' = \'\srv6846.exe\'
設定以下服務設定
[HKLM\SYSTEM\CurrentControlSet\Services\wtcfsnaoxlSv\Parameters] \'ServiceDll\' = \'\svcwtcfsna.dll\'
[HKLM\SYSTEM\CurrentControlSet\Services\wtcfsnaoxlSv] \'Start\' = \'00000002\'
[HKLM\SYSTEM\CurrentControlSet\Services\wtcfsnaoxlSv] \'ImagePath\' = \'\svchost.exe -k DcomSec\'
建立以下服務
\'wtcfsnaoxlSv\' \svchost.exe -k DcomSec
2. 惡意功能 (Malicious Functions)
補丁代碼
在 dll 中
qiadsbg.exe 進程,cbktwbapi.dll 模組
qiadsbg.exe 進程,etilyrerc.dll 模組
svchost.exe 進程,crclihgtc.dll 模組
3. 檔案系統變動 (File System Changes)
建立以下文件
C:\logbot.txt
%TEMP%\lisf3c7.tmp
%WINDIR%\syswow64\srv6846.exe
%WINDIR%\syswow64\svcwtcfsna.dll
4. 其他行為 (Miscellaneous)
該木馬會執行以下指令:
\'%WINDIR%\syswow64\svchost.exe\' -k DcomSec -s wtcfsnaoxlSv
HiNet SOC 建議使用者不定期更新病毒碼,以降低受駭風險。
https://hisecure.hinet.net/secureinfo/hotnews.php |
| 參考資訊: |
drweb
|
| |
