病毒通告:Trojan.MulDrop38.32497 病毒
2026-06-26
風險等級: 高度威脅
摘  要: 病毒通告:Trojan.MulDrop38.32497 病毒
解決辦法: 為防止系統受到該木馬的影響,建議使用者:? 隔離受感染設備: 發現檔案路徑、異常服務或異常命令執行後,應立即切斷該設備的網路連線(包含 Wi-Fi 與實體網路線),防止惡意程式進一步與遠端伺服器通訊或在內網擴散。 專業掃描清理: 正常/安全模式下: 若作業系統仍可正常啟動(無論是正常模式或安全模式),請立即下載或更新現有的專業資安防護軟體(防毒軟體),並針對電腦系統以及所有曾使用過的抽取式行動媒體(如隨身碟、外接硬碟)進行一次「全盤完整掃描」。 無法啟動系統時: 若系統已遭受破壞而無法正常引導開機,請調整 BIOS/UEFI 設定,改由光碟或 USB 隨身碟啟動。並於其他乾淨的電腦上下載「系統緊急救援開機碟映像檔」,製作成救援隨身碟或燒錄至光碟。利用該媒介引導開機後,在離線狀態下執行全盤掃描並清除所有偵測到的惡意威脅。 手動排查與備份: 請管理者參照技術特徵,嚴格檢查 %TEMP% 目錄下是否有異常的隨機數字資料夾(如 ~2053575786005046856)與 AIDA64Driver 服務。在執行手動清除或刪除惡意檔案前,請務必先備份系統中的重要數據。 版本更新與防護: 確保作業系統與防毒軟體均已安裝最新安全更新與病毒碼,並嚴格禁止使用者從非官方管道下載或執行來源不明的未知軟體。
細節描述: 該惡意程式藉由偽裝成知名硬體檢測工具 AIDA64 的驅動與執行檔來規避檢查。其主要危害在於透過修改系統服務實現開機自啟與持續性潛伏,並具備終止系統關鍵程序(如命令提示字元)以及釋放、執行多個惡意組件的行為。

技術特徵 (IOCs)
根據分析,該病毒感染後會在系統中留下以下痕跡,請管理者與使用者加強排查:

1. 服務與自啟動設定
修改服務設定:
修改 [HKLM\SYSTEM\CurrentControlSet\Services\AIDA64Driver] 註冊表項下的 ImagePath 數值為 %TEMP%\~2053575786005046856\kerneld.x64,以確保其核心組件能隨系統啟動。

建立系統服務:
建立名為 \'AIDA64Driver\' 的惡意服務,指向路徑:%TEMP%\~2053575786005046856\kerneld.x64。

2. 惡意功能
終止或企圖終止以下系統程序:
\cmd.exe (企圖阻礙管理員使用命令提示字元進行排查)

3. 檔案系統異動
建立以下文件
%TEMP%\~4901215718773238385~\sg.tmp
%TEMP%\~2053575786005046856\aida64.diskbench.ini
%TEMP%\~2053575786005046856\aida64.ini
%TEMP%\~2053575786005046856\aida64.reg.ini
%TEMP%\~2053575786005046856\kerneld.x32
%TEMP%\~2053575786005046856\kerneld.x64
%TEMP%\~2053575786005046856\lang_cn.txt
%TEMP%\~2053575786005046856\pkey.txt
%TEMP%\~2053575786005046856\aida64.exe

4. 其他綜合行為
創建並執行以下內容
\'%TEMP%\~4901215718773238385~\sg.tmp\' x "" -y -aoa -o"%TEMP%\~2053575786005046856"
\'%TEMP%\~2053575786005046856\aida64.exe\'

執行以下操作
\'\cmd.exe\' /c set
\'\cmd.exe\' /c set\' (隱藏視窗)
\'%TEMP%\~4901215718773238385~\sg.tmp\' x "" -y -aoa -o"%TEMP%\~2053575786005046856"\' (隱藏視窗)


HiNet SOC 建議使用者不定期更新病毒碼,以降低受駭風險。
https://hisecure.hinet.net/secureinfo/hotnews.php
參考資訊: drweb