Backdoor.MSIL.BLADABINDI.THA後門程式以其他惡意軟體丟棄的檔案或用戶訪問惡意網站時在不知不覺中下載的檔案形式到達系統,請勿點選或開啟任何可疑的檔案並提高警覺!

風險等級: 低度威脅
摘 要: 病毒通告:Backdoor.MSIL.BLADABINDI.THA後門程式以其他惡意軟體丟棄的檔案或用戶訪問惡意網站時在不知不覺中下載的檔案形式到達系統,請勿點選或開啟任何可疑的檔案並提高警覺!
解決辦法: 第一步 在進行任何掃描之前,Windows 7,Windows 8,Windows 8.1和Windows 10用戶必須禁用“系統還原”以允許對其電腦進行全面掃描。
第二步 請注意,在執行此惡意軟體/間諜軟體/灰色軟體期間,並非所有檔案,檔案夾,註冊金鑰和註冊表項都安裝在您的電腦上。這可能是由於安裝不完整或其他操作系統條件所致。如果找不到相同的檔案/檔案夾/註冊表訊息,請繼續執行下一步。
第三步 識別並終止檢測為Backdoor.MSIL.BLADABINDI.THA的檔案
第四步 刪除此註冊表值在HKEY_USERS \ {用戶的ID}中di =!
在HKEY_CURRENT_USER中di =!在HKEY_CURRENT_USER \ Software \ 61d7bbb639f843c98f77625f64a72439
[kl] = {被盜訊息}
第五步 使用趨勢科技產品掃描,以刪除檢測為Backdoor.MSIL.BLADABINDI.THA的檔案。如果檢測到的檔案已被趨勢科技產品清除,刪除或隔離,則無需採取進一步措施。
細節描述: 1.到達詳情後門程式以其他惡意軟體丟棄的檔案或用戶訪問惡意網站時在不知不覺中下載的檔案形式到達系統。

2.安裝此後門添加了以下互斥對象,以確保在任何一次僅運行其副本之一:61d7bbb639f843c98f77625f64a72439

3.其他系統修改此後門添加以下註冊表??項:

HKEY_USERS \ {用戶的ID}di =!

HKEY_CURRENT_USERdi =!

HKEY_CURRENT_USER \ Software \ 61d7bbb639f843c98f77625f64a72439
[kl] = {被盜的訊息}

4.後門程式此後門程式從遠端惡意用戶執行以下命令:

下載檔案
執行檔案
更新檔案
拍攝用戶螢幕截圖
安裝並執行附件
卸載-刪除與惡意軟體相關的檔案和註冊表獲取HKEY_CURRENT_USER \ Software \ 61d7bbb639f843c98f77625f64a72439的值設置HKEY_CURRENT_USER \ Software \ 61d7bbb639f843c98f77625f64a72439的值刪除HKEY_CURRENT_USER \ Software \ 61d7bbb639f843c98f77625f64a72439的值終止惡意軟體過程它連接到以下URL,從遠端惡意用戶發送和接收命令:gamezer1hack。{BLOCKED} s.net:19811

5.訊息盜竊此後門程式在受影響的電腦上收集以下訊息:

視聽產品
系統驅動程式序號
捕獲設備訊息
機器名稱
用戶名
感染日期
操作系統
操作系統服務包
系統類型(32位元/ 64位元)
視聽產品
HKEY_CURRENT_USER \ Software \ 61d7bbb639f843c98f77625f64a72439的值
活動視窗
惡意軟體版本
它記錄用戶的按鍵次數來竊取訊息。

參考資訊: trendmicro

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *