| 風險等級: |
中度威脅 |
| 摘 要: |
病毒通告:MSIL.NEGASTEAL.RJANLJ 木馬病毒 |
| 解決辦法: |
步驟1
在進行任何掃描之前,Windows 7、Windows 8、Windows 8.1 和 Windows 10 使用者必須停用系統還原以允許對其電腦進行完整掃描。
步驟2
請注意,在此惡意軟體/間諜軟體/灰色軟體執行期間,並非所有檔案、資料夾以及登錄項目和條目都會安裝在您的電腦上。這可能是由於安裝不完整或其他作業系統條件造成的。如果您沒有找到相同的文件/資料夾/註冊表信息,請繼續執行下一步。
步驟3
以安全模式重新啟動
步驟4
搜尋並刪除這些文件
可能有一些文件被隱藏。請確保選取「更多進階選項」選項中的搜尋隱藏檔案和資料夾複選框,以在搜尋結果中包含所有隱藏檔案和資料夾。
%Application Data%\XClient.exe
%User Startup%\XClient.lnk
%User Temp%\Log.tmp
%AppDataLocal%\MICROSOFT\Windows\PowerShell\StartupProfileData-NonInteractive
%User Temp%\iusmu2uw.gw3.ps1
%User Temp%\kcy3a44w.kcm.psm1
%User Temp%\au5n0kgd.02f.ps1
%User Temp%\kdlsfc4s.ad2.psm1
%User Temp%\ncmlgizh.d4s.ps1
%User Temp%\qa2xkce0.luu.psm1 |
| 細節描述: |
MSIL.NEGASTEAL.RJANLJ 被視為一種木馬病毒,該特洛伊木馬間諜程式以其他惡意軟體丟棄的檔案或使用者在造訪惡意網站時無意中下載的檔案的形式到達系統。
該特洛伊木馬間諜會釋放以下文件:
%AppDataLocal%\MICROSOFT\Windows\PowerShell\StartupProfileData-NonInteractive
%User Temp%\iusmu2uw.gw3.ps1
%User Temp%\kcy3a44w.kcm.psm1
%User Temp%\au5n0kgd.02f.ps1
%User Temp%\kdlsfc4s.ad2.psm1
%User Temp%\ncmlgizh.d4s.ps1
%User Temp%\qa2xkce0.luu.psm1
%User Temp%\Log.tmp → used to log keystrokes
它將自身的以下副本放入受影響的系統中:
%Application Data%\XClient.exe
它添加了以下流程:
{Malware Path}\{Malware Filename}
"%System%\WindowsPowerShell\v1.0\powershell.exe" -ExecutionPolicy Bypass Add-MpPreference -ExclusionPath \'{Malware Path}\{Malware Filename}\'
"%System%\WindowsPowerShell\v1.0\powershell.exe" -ExecutionPolicy Bypass Add-MpPreference -ExclusionProcess \'{Malware Filename}\'
"%System%\WindowsPowerShell\v1.0\powershell.exe" -ExecutionPolicy Bypass Add-MpPreference -ExclusionPath \'%Application Data%\XClient.exe\'
"%System%\WindowsPowerShell\v1.0\powershell.exe" -ExecutionPolicy Bypass Add-MpPreference -ExclusionProcess \'XClient.exe\'
該特洛伊木馬間諜會在用戶啟動資料夾中放??置以下指向其副本的快捷方式,以使其在每次系統啟動時自動執行:
%User Startup%\XClient.lnk
它執行以下操作:
它連接到 API 來記錄擊鍵和系統活動。
從 RAR 文件提取後包含惡意可執行文件。
HiNet SOC 建議使用者不定期更新病毒碼,以降低受駭風險。
https://hisecure.hinet.net/secureinfo/hotnews.php |
| 參考資訊: |
trendmicro
|
| |
