| 風險等級: |
中度威脅 |
| 摘 要: |
病毒通告:BAT.EMANSREPO.A 木馬病毒 |
| 解決辦法: |
步驟1
在進行任何掃描之前,Windows 7、Windows 8、Windows 8.1 和 Windows 10 使用者必須停用系統還原以允許對其電腦進行完整掃描。
步驟2
請注意,在此惡意軟體/間諜軟體/灰色軟體執行期間,並非所有檔案、資料夾以及登錄項目和條目都會安裝在您的電腦上。這可能是由於安裝不完整或其他作業系統條件造成的。如果您沒有找到相同的文件/資料夾/註冊表信息,請繼續執行下一步。
步驟3
搜尋並刪除該文件
%User Temp%\script.ps1 |
| 細節描述: |
BAT.EMANSREPO.A 被視為一種木馬病毒,該特洛伊木馬間諜程式以其他惡意軟體丟棄的檔案或使用者在造訪惡意網站時無意中下載的檔案的形式到達系統。
該木馬添加了以下進程:
powershell -command "Start-Process powershell -ArgumentList \'-NoProfile -WindowStyle Hidden -ExecutionPolicy Bypass -File "%User Temp%\script.ps1"\' -NoNewWindow -Wait"
該木馬會刪除以下檔案:
%User Temp%\script.ps1
該木馬連接到以下網站下載並執行惡意檔案:
http://{BLOCKED}.{BLOCKED}.{BLOCKED}.185/script.ps1
它使用以下名稱保存下載的檔案:
%User Temp%\script.ps1 → detected as Trojan.PS1.EMANSREPO.A
該木馬會執行以下操作:
它檢查 %User Temp%\script.ps1 是否存在。
如果沒有,則連接http://{BLOCKED}.{BLOCKED}.{BLOCKED}.185/script.ps1下載惡意腳本,儲存為%User Temp%\script.ps1,執行並刪除之後。
如果存在,它會自行終止。
HiNet SOC 建議使用者不定期更新病毒碼,以降低受駭風險。
https://hisecure.hinet.net/secureinfo/hotnews.php |
| 參考資訊: |
trendmicro
|
| |
