撰文: Janus Agcaoili   

 平台:

Windows

 整體風險評比:
 潛在威脅性:
 潛在散播風險:
 報告感染 :
 資訊暴露評比:

  • 惡意程式類型:
    Backdoor

  • 具破壞性:

  • 被加密:

  • In the wild:

  總覽與描述

感染管道: 從互聯網上下載

此惡意程式沒有任何散佈程序。

它會執行遠端惡意使用者指定的命令,以達成危害受影響系統的目的。

  詳細技術資訊

檔案大小: 733,524 bytes
檔案類型: EXE
記憶體常駐型:
首批樣本接收日期: 2016年3月29日

安裝

它會放置下列檔案元件:

  • %User Temp%\IXP000.TMP\TMP4351$.TMP - deleted afterwards
  • %AppDataLocal%\CSIDL_X - deleted afterwards
  • %AppDataLocal%\CSIDL_
  • %User Temp%\IXP000.TMP\M.ex_ - deleted afterwards
  • %Application Data%\{A8844b0b-CA06-CB5E-D0E5-7B08749934CC}\eknr.ex_ <- hidden copy of eknr.exe

(注意:%User Temp% 是目前使用者的 Temp 資料夾,通常是 C:\Documents and Settings\{user name}\Local Settings\Temp(Windows 2000、XP 和 Server 2003)。. %Application Data% 是目前使用者的 Application Data 資料夾,通常是 C:\Windows\Profiles\{user name}\Application Data(Windows 98 和 ME)、C:\WINNT\Profiles\{user name}\Application Data (Windows NT),以及 C:\Documents and Settings\{user name}\Local Settings\Application Data(Windows 2000、XP 和 Server 2003)。)

它會放置並執行下列檔案:

  • %Application Data%\{A8844b0b-CA06-CB5E-D0E5-7B08749934CC}\eknr.exe <- also detected as BKDR_LODORAT.A
  • %User Temp%\IXP000.TMP\M.exe <- copy of eknr.exe

(注意:%Application Data% 是目前使用者的 Application Data 資料夾,通常是 C:\Windows\Profiles\{user name}\Application Data(Windows 98 和 ME)、C:\WINNT\Profiles\{user name}\Application Data (Windows NT),以及 C:\Documents and Settings\{user name}\Local Settings\Application Data(Windows 2000、XP 和 Server 2003)。. %User Temp% 是目前使用者的 Temp 資料夾,通常是 C:\Documents and Settings\{user name}\Local Settings\Temp(Windows 2000、XP 和 Server 2003)。)

它會建立下列資料夾:

  • %Application Data%\{A8844b0b-CA06-CB5E-D0E5-7B08749934CC}
  • %User Temp%\IXP000.TMP

(注意:%Application Data% 是目前使用者的 Application Data 資料夾,通常是 C:\Windows\Profiles\{user name}\Application Data(Windows 98 和 ME)、C:\WINNT\Profiles\{user name}\Application Data (Windows NT),以及 C:\Documents and Settings\{user name}\Local Settings\Application Data(Windows 2000、XP 和 Server 2003)。. %User Temp% 是目前使用者的 Temp 資料夾,通常是 C:\Documents and Settings\{user name}\Local Settings\Temp(Windows 2000、XP 和 Server 2003)。)

自動啟動技術

它會新增下列登錄項目,使其在每次系統啟動時自動執行:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
eknr = "C:\Users\dyituser_732\AppData\Roaming\{A8844B0B-CA06-CB5E-D0E5-7B08749934CC}\eknr.exe"

它會將下列檔案放置到 Windows User Startup 資料夾,以使其可在每次系統啟動時自動執行:

  • %User Startup%\system.pif <- copy of eknr.exe

(注意:%User Startup% 是目前使用者的「啟動」資料夾,通常是 C:\Windows\Profiles\{user name}\「開始」功能表\程式集\啟動(Windows 98 和 ME)、C:\WINNT\Profiles\{user name}\「開始」功能表\程式集\啟動 (Windows NT),以及 C:\Documents and Settings\{User name}\「開始」功能表\程式集\啟動。)

其他系統修改

它會新增下列登錄機碼:

HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\
M

HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\
eknr

它會修改下列登錄項目:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\RunOnce
wextract_cleanup0 = "rundll32.exe %System%\advpack.dll,DelNodeRunDLL32 "%User Temp%\IXP000.TMP\""

傳播

此惡意程式沒有任何散佈程序。

後門程式程序

它會執行遠端惡意使用者指定的下列命令:

  • Manage Windows
    • List all active windows
    • Control active windows
  • Manage Applications
    • List all installed applications
    • Uninstall application on the list
  • Manage files
    • Create
    • Delete
    • Copy
    • Rename
    • Set Attributes
  • Download/Upload arbitrary files
  • Execute arbitrary files
  • Perform Remote Shell Commands
  • Monitor System Information (CPU Usage, etc)
  • List Active Processes
  • Execute/Terminate Arbitrary Processes
  • Activate keylogger (Online/Offline)
  • Stream Desktop/Webcam
  • Send and Receive Messages
  • Manage Server
    • Get Server Information
    • Remove Server
    • Restart Server
    • Rename Server
  • Miscellaneous Commands
    • Open/Close CD Drive
    • Hide/Show Icons
    • Hide/Show Taskbar
    • Lock/Unlock Mouse
    • Hide/Show Start
    • Turn Monitor On/Off
    • Swap Mouse Buttons
    • Shutdown/Restart/Logoff Machine
    • Manipulate Control Panel
    • Print arbitrary files
    • Get data from ClipBoard
    • Manipulate IE Settings

截至撰寫本文為止,目前尚無法存取上述伺服器。

  解決方案

最低掃瞄引擎: 9.800

Step 1

對於 Windows ME 和 XP 使用者,在執行任何掃瞄之前,請確定您已關閉「系統還原」,以便能完整掃瞄您的電腦。

Step 3

重新啟動至安全模式

[ 學到更多 ]

Step 4

刪除此登錄機碼

[ 學到更多 ]

重要:不當編輯「Windows 登錄」可能會導致系統故障而無法回復。請在您有把握或有系統管理員協助的情況下執行此步驟。或者,在修改電腦的登錄之前,先閱讀此 Microsoft 文章

 
  • In HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications
    • M
  • In HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications
    • eknr
336.2

如果要刪除此惡意程式/可能的資安威脅程式/間諜程式建立的登錄機碼,請執行下列動作:

  1. 開啟「登錄編輯程式」。如果要執行此動作,請按一下「開始∣執行」,在提供的文字方塊中輸入 regedit,然後按 Enter 鍵。
  2. 在「登錄編輯程式」視窗左邊的窗格中,按兩下下列登錄機碼:
    DATA_GENERIC_KEY
  3. 繼續在左邊的窗格中尋找並刪除下列機碼:
    DATA_GENERIC_KEYDEL
  4. 關閉「登錄編輯程式」。

Step 5

刪除此登錄值

[ 學到更多 ]

重要:不當編輯「Windows 登錄」可能會導致系統故障而無法回復。請在您有把握或有系統管理員協助的情況下執行此步驟。或者,在修改電腦的登錄之前,先閱讀此 Microsoft 文章

  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
    • wextract_cleanup0 = "rundll32.exe %System%\advpack.dll,DelNodeRunDLL32 "%User Temp%\IXP000.TMP\""
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    • eknr = "C:\Users\dyituser_732\AppData\Roaming\{A8844B0B-CA06-CB5E-D0E5-7B08749934CC}\eknr.exe"

Step 6

搜尋並刪除這些資料夾

[ 學到更多 ]
請確定您已在「進階選項」中選取「搜尋隱藏的檔案和資料夾」核取方塊,以在搜尋結果中包含所有隱藏的資料夾。
  • %Application Data%\{A8844b0b-CA06-CB5E-D0E5-7B08749934CC}
  • %User Temp%\IXP000.TMP

Step 7

搜尋並刪除此檔案

[ 學到更多 ]
有些可能是隱藏的元件檔案。請確定您已在「進階選項」中選取「搜尋隱藏的檔案和資料夾」核取方塊,以在搜尋結果中包含所有隱藏的檔案和資料夾。
  • %AppDataLocal%\CSIDL_
  • %User Startup%\system.pif

Step 8

重新啟動至標準模式,並使用您的趨勢科技產品掃瞄電腦是否有偵測到如 BKDR_LODORAT.A 的檔案 如果偵測到的檔案已被您的趨勢科技產品清除、刪除或隔離,則不需要進一步的動作。您可以選擇刪除隔離的檔案。請參考此常見問題集頁面瞭解詳細資訊。


說說您對安全威脅百科的想法