撰文: Jennifer Gumban   

 平台:

Windows

 整體風險評比:
 潛在威脅性:
 潛在散播風險:
 報告感染 :
 資訊暴露評比:

  • 惡意程式類型:
    Trojan

  • 具破壞性:

  • 被加密:

  • In the wild:

  總覽與描述

感染管道: 下降了其他惡意軟件, 從互聯網上下載

它會在執行後自行刪除。

然後它會執行所放置的檔案。如此,所放置檔案的惡意常式便會在受影響的系統上顯示。

它會重新啟動受影響的系統。

  詳細技術資訊

檔案大小: 4,608 bytes
檔案類型: EXE
記憶體常駐型:
首批樣本接收日期: 2011年4月19日

安裝

它會放置下列檔案:

  • %System%\xiudll.dll ← hidden file that overwrites the Master Boot Record (MBR) of the affected system causing it to be corrupted making it impossible for the Operating System to load properly.

(注意:%System% 是 Windows 系統資料夾,通常是 C:\Windows\System(Windows 98 和 ME)、C:\WINNT\System32(Windows NT 和 2000 或 C:\Windows\System32(Windows XP 和 Server 2003)。)

它會在執行後自行刪除。

修改其他系統

它會新增下列登錄機碼:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon\
Notify\xuidll

它會新增下列登錄項目:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon\
Notify\xuidll
DLLName = "xuidll.dll"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon\
Notify\xuidll
Startup = "on_load"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon\
Notify\xuidll
Asynchronous = "1"

植入程序

然後它會執行所放置的檔案。如此,所放置檔案的惡意常式便會在受影響的系統上顯示。

其他詳細資訊

它會重新啟動受影響的系統。

  解決方案

最低掃瞄引擎: 9.850
第一個 VSAPI 病毒碼檔案: 13.714.05
第一個 VSAPI 病毒碼發行日期: 2017年10月12日
VSAPI OPR 病毒碼版本: 13.715.00
VSAPI OPR 病毒碼發行日期: 2017年10月13日

Step 1

對於 Windows ME 和 XP 使用者,在執行任何掃瞄之前,請確定您已關閉「系統還原」,以便能完整掃瞄您的電腦。

Step 2

使用您的趨勢科技產品掃瞄電腦,以刪除所偵測到如 TROJ_MBRWIPE.B 的檔案 如果偵測到的檔案已被您的趨勢科技產品清除、刪除或隔離,則不需要進一步的動作。您可以選擇刪除隔離的檔案。請參考此常見問題集頁面瞭解詳細資訊。

Step 3

刪除此登錄機碼

[ 學到更多 ]

重要:不當編輯「Windows 登錄」可能會導致系統故障而無法回復。請在您有把握或有系統管理員協助的情況下執行此步驟。或者,在修改電腦的登錄之前,先閱讀此 Microsoft 文章

 
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
    • xuidll = ""
336.2

如果要刪除此惡意程式/可能的資安威脅程式/間諜程式建立的登錄機碼,請執行下列動作:

  1. 開啟「登錄編輯程式」。如果要執行此動作,請按一下「開始∣執行」,在提供的文字方塊中輸入 regedit,然後按 Enter 鍵。
  2. 在「登錄編輯程式」視窗左邊的窗格中,按兩下下列登錄機碼:
    DATA_GENERIC_KEY
  3. 繼續在左邊的窗格中尋找並刪除下列機碼:
    DATA_GENERIC_KEYDEL
  4. 關閉「登錄編輯程式」。


說說您對安全威脅百科的想法