Trojan.X97M.PANDASTEAL.THDABBA 木馬程式在瀏覽惡意網站時會下載惡意檔案至電腦上,請勿點選或開啟任何可疑的檔案並提高警覺!

風險等級: 低度威脅
摘 要: 病毒通告:
Trojan.X97M.PANDASTEAL.THDABBA
木馬程式在瀏覽惡意網站時會下載惡意檔案至電腦上,請勿點選或開啟任何可疑的檔案並提高警覺!
解決辦法: 若不慎已感染此病毒,建議處理方式如下:
1、阻擋所有外部可疑連線
2、使用密碼將檔案加密
3、不要給予使用者與程式過高的權限來執行工作
4、取消自動撥放 (AutoPlay) 避免在網路上自動執行檔案
5、關閉藍芽與檔案分享功能,如需要則使用權限控管名單 (Access Control List) 或 密碼 (password) 來存取:
6、一旦有電腦被感染,立刻將其隔離
7、如果以上步驟仍無法順利清除病毒,建議您參考以下防毒廠商提供之步驟處理:
https://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/trojan.x97m.pandasteal.thdabba
細節描述: 該木馬程式以其他惡意軟體丟棄的文件或用戶訪問惡意網址時,在不知不覺中以下載檔案的形式到達系統。(1)安裝:
該木馬會刪除以下文件:
%User Temp%\R9w.VBS (%User Temp% 是用戶暫存資料夾。)
(C:\Documents and Settings\{user name}\Local Settings\Temp\..),(Windows XP/Server 2003 之前版本)
(C:\Users\{user name}\AppData\Local\Temp\..) (Windows 7/Sercer 2008 之後版本)

該木馬添加了以下執行緒:
cmd.exe /c {Long Command}{Long Command} 的位置與下列有關,
1. Creation of VBS File.
2. wscript %User Temp%\R9w.VBS
3. del %User Temp%\R9w.VBS
4. timeout 13
5. %User Temp%\FSST.exe

(2)其他動作
1.下載惡意檔案:
該木馬連接到以下網站以下載並執行惡意文件:
http://{BLOCKED}.{BLOCKED}.213.108/po/aXSz3.exe
它使用以下名稱保存它下載的文件:%User Temp%\FSST.exe
(此檔案檢測為 Trojan.Win32.PANDASTEAL.THDABBA)

2.額外情況:
如現行 Office 執行版本為 Microsoft Office 2013 (64bit),部分惡意的 macro 內文碼將被執行,並也會顯示 macro 內文碼引誘用戶啟用該功能。

參考資訊: trendmicro