TrojanSpy.MSIL.REDLINESTEALER.YXBDN 木馬程式在瀏覽惡意網站時會下載惡意檔案至電腦上

風險等級：	低度威脅
摘　要：	病毒通告： TrojanSpy.MSIL.REDLINESTEALER.YXBDN 木馬程式在瀏覽惡意網站時會下載惡意檔案至電腦上，請勿點選或開啟任何可疑的檔案並提高警覺！
解決辦法：	若不慎已感染此病毒，建議處理方式如下： 1、阻擋所有外部可疑連線 2、使用密碼將檔案加密 3、不要給予使用者與程式過高的權限來執行工作 4、取消自動撥放 (AutoPlay) 避免在網路上自動執行檔案 5、關閉藍芽與檔案分享功能，如需要則使用權限控管名單 (Access Control List) 或密碼 (password) 來存取： 6、一旦有電腦被感染，立刻將其隔離 7、如果以上步驟仍無法順利清除病毒，建議您參考以下防毒廠商提供之步驟處理： trendmicro: https://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/trojanspy.msil.redlinestealer.yxbdn
細節描述：	該木馬程式以其他惡意軟體丟棄的文件或用戶訪問惡意站點時在不知不覺中下載的文件的形式到達系統。安裝該木馬程式會添加以下過程： {Malware Directory}\{Malware Filename} 它會將程式碼注入以下過程： {Malware Directory}\{Malware Filename} 後門程式該木馬程式會從遠端讓受駭主機執行以下命令： Download – downloads a file to specified path DownloadAndEx – downloads a file to specified path then execute it OpenLink – opens a specific link in the browser Cmd – execute commands via cmd 它會連接到以下網站以發送和接收資訊： {BLOCKED} ri.xyz:80 資料竊取該木馬程式會收集以下數據資料： Gathers the following system info: Username Hardware ID Keyboard Layout Screenshot Screen Resolution Operating System UAC Settings Is Admin GPU Information CPU Information Memory (RAM) Installed Antiviruses IP Address Country City ZipCode System Language System Timezone Installed Programs Running Processes Gathers Info from: Browsers: Chrome Based Browsers Gecko Based Browsers (e.g. Firefox) FTP Clients: FileZilla Messaging Applications: Telegram VPN: NordVPN OpenVPN ProtonVPN Wallets: Armory Atomic Coinomi Electrum Ethereum Exodus Guarda Jaxx Metamask Monero Tron Others Others: Steam Discord 其他資訊該木馬程式會執行以下操作：顯示假的錯誤訊息： MesageBox Title: System Error MessageBox Content: “The code execution cannot proceed because MSVCP140.dll was not found”
參考資訊：	trendmicro

發佈留言 取消回覆

發佈留言取消回覆