| 風險等級: |
高度威脅 |
| 摘 要: |
病毒通告:Trojan.MulDrop38.32497 病毒 |
| 解決辦法: |
為防止系統受到該木馬的影響,建議使用者:?
隔離受感染設備:
發現檔案路徑、異常服務或異常命令執行後,應立即切斷該設備的網路連線(包含 Wi-Fi 與實體網路線),防止惡意程式進一步與遠端伺服器通訊或在內網擴散。
專業掃描清理:
正常/安全模式下: 若作業系統仍可正常啟動(無論是正常模式或安全模式),請立即下載或更新現有的專業資安防護軟體(防毒軟體),並針對電腦系統以及所有曾使用過的抽取式行動媒體(如隨身碟、外接硬碟)進行一次「全盤完整掃描」。
無法啟動系統時: 若系統已遭受破壞而無法正常引導開機,請調整 BIOS/UEFI 設定,改由光碟或 USB 隨身碟啟動。並於其他乾淨的電腦上下載「系統緊急救援開機碟映像檔」,製作成救援隨身碟或燒錄至光碟。利用該媒介引導開機後,在離線狀態下執行全盤掃描並清除所有偵測到的惡意威脅。
手動排查與備份:
請管理者參照技術特徵,嚴格檢查 %TEMP% 目錄下是否有異常的隨機數字資料夾(如 ~2053575786005046856)與 AIDA64Driver 服務。在執行手動清除或刪除惡意檔案前,請務必先備份系統中的重要數據。
版本更新與防護:
確保作業系統與防毒軟體均已安裝最新安全更新與病毒碼,並嚴格禁止使用者從非官方管道下載或執行來源不明的未知軟體。 |
| 細節描述: |
該惡意程式藉由偽裝成知名硬體檢測工具 AIDA64 的驅動與執行檔來規避檢查。其主要危害在於透過修改系統服務實現開機自啟與持續性潛伏,並具備終止系統關鍵程序(如命令提示字元)以及釋放、執行多個惡意組件的行為。
技術特徵 (IOCs) 根據分析,該病毒感染後會在系統中留下以下痕跡,請管理者與使用者加強排查:
1. 服務與自啟動設定 修改服務設定: 修改 [HKLM\SYSTEM\CurrentControlSet\Services\AIDA64Driver] 註冊表項下的 ImagePath 數值為 %TEMP%\~2053575786005046856\kerneld.x64,以確保其核心組件能隨系統啟動。
建立系統服務: 建立名為 \'AIDA64Driver\' 的惡意服務,指向路徑:%TEMP%\~2053575786005046856\kerneld.x64。
2. 惡意功能 終止或企圖終止以下系統程序: \cmd.exe (企圖阻礙管理員使用命令提示字元進行排查)
3. 檔案系統異動 建立以下文件 %TEMP%\~4901215718773238385~\sg.tmp %TEMP%\~2053575786005046856\aida64.diskbench.ini %TEMP%\~2053575786005046856\aida64.ini %TEMP%\~2053575786005046856\aida64.reg.ini %TEMP%\~2053575786005046856\kerneld.x32 %TEMP%\~2053575786005046856\kerneld.x64 %TEMP%\~2053575786005046856\lang_cn.txt %TEMP%\~2053575786005046856\pkey.txt %TEMP%\~2053575786005046856\aida64.exe
4. 其他綜合行為 創建並執行以下內容 \'%TEMP%\~4901215718773238385~\sg.tmp\' x "" -y -aoa -o"%TEMP%\~2053575786005046856" \'%TEMP%\~2053575786005046856\aida64.exe\'
執行以下操作 \'\cmd.exe\' /c set \'\cmd.exe\' /c set\' (隱藏視窗) \'%TEMP%\~4901215718773238385~\sg.tmp\' x "" -y -aoa -o"%TEMP%\~2053575786005046856"\' (隱藏視窗)
HiNet SOC 建議使用者不定期更新病毒碼,以降低受駭風險。 https://hisecure.hinet.net/secureinfo/hotnews.php |
| 參考資訊: |
drweb
|
| |