Worm.Win32.HERMWIZ.YECCA 後門程式以其他惡意軟體丟棄的檔案或用戶連接惡意網站時在不知不覺中下載的檔案形式到達系統

風險等級: 低度威脅
摘 要: 病毒通告:
Worm.Win32.HERMWIZ.YECCA
後門程式以其他惡意軟體丟棄的檔案或用戶連接惡意網站時在不知不覺中下載的檔案形式到達系統,請勿點選或開啟任何可疑的檔案並提高警覺!
解決辦法: 若不慎已感染此病毒,建議處理方式如下:
1.在進行任何掃描之前,Windows 7、Windows 8、Windows 8.1 和 Windows 10用戶必須禁用系統還原以允許對其它電腦進行全面掃描。
2.請注意,在此惡意軟件/間諜軟件/灰色軟件執行期間,並非所有文件、文件夾、註冊表和條目都安裝在您的電腦上。這可能是由於安裝不完整或其他操作系統條件造成的。如果您沒有找到相同的文件/文件夾/註冊信息,請繼續下一步。
3.識別並終止檢測為 Worm.Win32.HERMWIZ.YECCA 的文件
4.搜索並刪除這些文件:
可能有一些文件是隱藏的。請確保選中“更多高級選項”選項中的“搜索隱藏文件和文件夾”複選框,以在搜索結果中包含所有隱藏文件和文件夾。
(1){Malware File Path}\{Random 1}.ocx
(2){Malware File Path}\{Random 2}.ocx
(3){Malware File Path}\{Random 3}.ocx
(4){Malware File Path}\{c{12 Random Characters}}.dll
5.使用趨勢科技產品掃描您的電腦刪除檢測為 Worm.Win32.HERMWIZ.YECCA的文件。如果檢測到的文件已被您的趨勢科技產品清除、刪除或隔離,則不需要進一步的步驟。您可以選擇只刪除隔離的文件。
細節描述: 病毒通告:
Worm.Win32.HERMWIZ.YECCA後門程式以其他惡意軟體丟棄的檔案或用戶連接惡意網站時在不知不覺中下載的檔案形式到達系統,請勿點選或開啟任何可疑的檔案並提高警覺!

1.到達詳情:
後門程式以其他惡意軟體丟棄的檔案或用戶連接惡意網站時在不知不覺中下載的檔案形式到達系統。

2.安裝:

2-1.此後門程式會刪除以下文件:
一旦它在網路中建立到一個 IP 的連線:
(1){Malware File Path}\{Random 2}.ocx – module used for SMB propagation and execution to the remote machine
(2){Malware File Path}\{Random 3}.ocx – module used for WMI propagation and execution to the remote machine
(3){Malware File Path}\{c{12 Random Characters}}.dll – copy of itself

2-2.刪除並執行以下文件:
(1){Malware File Path}\{Random 1}.ocx – Disk Wiper

2-3.新增文件的過程:
建立與 IP 地址的連線後:
(1)%System%\regsvr32.exe {Malware File Path}\{Random 2}.ocx #1 -s
{Malware File Path}\{c{12 Random Characters}}.dll -i {Target IP Address}
(2)%System%\regsvr32.exe {Malware File Path}\{Random 3}.ocx #1 -s
{Malware File Path}\{c{12 Random Characters}}.dll -i {Target IP Address}

3.傳播:
此後門程式在遠端管理員共享中並刪除以下文件:
\{IP Address}\ADMIN$\{Malware File Path}\{c{12 Random Characters}}.dll

4.此後門程式執行以下操作:
通過以下方式獲取本地端的網路中 IP 地址:
(1)Obtaining the physical address mapping table
(2)Enumerating servers in the domain
(3)Obtaining the TCP Table
(4)Adapters addresses
獲得的 IP 地址上建立連線並遠端複製到受害者。

5.允許對使用以下Port找到的 IP 地址進行全面掃描:
Port:20、21、22、80、135、137、139、443、445

參考資訊: trendmicro