:

Win32/Dridex.C (ESET)

 平台:

Windows

 整體風險評比:
 潛在威脅性:
 潛在散播風險:
 報告感染 :
 資訊暴露評比:

  • 惡意程式類型:
    Spyware

  • 具破壞性:

  • 被加密:

  • In the wild:

  總覽與描述

感染管道: 從互聯網上下載, 下降了其他惡意軟件

要获取此间谍软件行为的简要综述,请参考以下“威胁图”。

它可能是由其他惡意程式從遠端網站所下載。

它會連線至特定網站以傳送和接收資訊。 它是用來載入及執行檔案。 它會在執行後刪除其本身。

  詳細技術資訊

檔案大小: 81,920 bytes
檔案類型: EXE
記憶體常駐型:
首批樣本接收日期: 2014年10月29日

到達詳細資訊

它可能是由下列惡意程式從遠端網站所下載:

  • TROJ_WMSHELL.A

它可能是從下列遠端網站所下載:

  • http://{BLOCKED}hurt.com.pl/js/bin.exe

安裝

它會將本身的下列副本放置到受影響的系統並執行它們:

  • %AppDataLocal%\edg{number}.exe
  • %AppDataLocal%\edg{number}.tmp - deleted afterwards

它會將程式碼注入到下列處理程序:

  • explorer.exe

自動啟動技術

它會新增下列登錄項目,使其在每次系統啟動時自動執行:

HKEY_CURRENT_USER\ Software\Microsoft\
Windows\CurrentVersion\Run
wmnotify = "rundll32.exe %Application Data%\{number}.tmp NotifierInit"
This autorun registry is added before the system shuts down

其他系統修改

它會新增下列登錄項目:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
CLSID\{GUID}\ShellFolder
{random} = "{encrypted}"

下載程序

它使用下列名稱儲存下載的檔案:

  • %AppDataLocal%\{number}.tmp - TSPY_DRIDEX.WQJ
    This file is moved to %Application Data%\{number}.tmp before the system shuts down

(注意:%Application Data% 是目前使用者的 Application Data 資料夾,通常是 C:\Windows\Profiles\{user name}\Application Data(Windows 98 和 ME)、C:\WINNT\Profiles\{user name}\Application Data (Windows NT),以及 C:\Documents and Settings\{user name}\Local Settings\Application Data(Windows 2000、XP 和 Server 2003)。)

資訊遭竊

它會收集下列資料:

  • username
  • computer name
  • installation date

其他詳細資訊

它會連線至下列網站以傳送和接收資訊:

  • {BLOCKED}.{BLOCKED}.184.70:8080
  • {BLOCKED}.{BLOCKED}.89.83:8080
  • {BLOCKED}.{BLOCKED}.157.176:8080

它是用來載入及執行下列檔案:

  • %AppDataLocal%\{number}.tmp
    executed using the following command:
    rundll32.exe %AppDataLocal%\{number}.tmp,NotifierInit

它會在執行後刪除其本身。

  解決方案

最低掃瞄引擎: 9.700
第一個 VSAPI 病毒碼檔案: 11.240.06
第一個 VSAPI 病毒碼發行日期: 2014年10月28日
VSAPI OPR 病毒碼版本: 11.241.00
VSAPI OPR 病毒碼發行日期: 2014年10月28日

Step 1

對於 Windows ME 和 XP 使用者,在執行任何掃瞄之前,請確定您已關閉「系統還原」,以便能完整掃瞄您的電腦。

Step 3

使用您的趨勢科技產品掃瞄電腦,並注意所偵測到如 TSPY_DRIDEX.WQJ 的檔案

Step 4

重新啟動至安全模式

[ 學到更多 ]

Step 5

刪除此登錄值

[ 學到更多 ]

重要:不當編輯「Windows 登錄」可能會導致系統故障而無法回復。請在您有把握或有系統管理員協助的情況下執行此步驟。或者,在修改電腦的登錄之前,先閱讀此 Microsoft 文章

  • In HKEY_CURRENT_USER\ Software\Microsoft\Windows\CurrentVersion\Run
    • wmnotify = "rundll32.exe %Application Data%\{number}.tmp NotifierInit"
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\CLSID\{GUID}\ShellFolder
    • {random} = "{encrypted}"

Step 6

搜尋並刪除所偵測到如 TSPY_DRIDEX.WQJ 的檔案

[ 學到更多 ]
請確定您已在「進階選項」中選取「搜尋隱藏的檔案和資料夾」核取方塊,以在搜尋結果中包含所有隱藏的檔案。

Step 7

重新啟動至標準模式,並使用您的趨勢科技產品掃瞄電腦是否有偵測到如 TSPY_DRIDEX.WQJ 的檔案 如果偵測到的檔案已被您的趨勢科技產品清除、刪除或隔離,則不需要進一步的動作。您可以選擇刪除隔離的檔案。請參考此常見問題集頁面瞭解詳細資訊。


說說您對安全威脅百科的想法