TrojanSpy.MSIL.REDLINESTEALER.YXBDN 木馬程式在瀏覽惡意網站時會下載惡意檔案至電腦上

風險等級: 低度威脅
摘 要: 病毒通告:
TrojanSpy.MSIL.REDLINESTEALER.YXBDN
木馬程式在瀏覽惡意網站時會下載惡意檔案至電腦上,請勿點選或開啟任何可疑的檔案並提高警覺!
解決辦法: 若不慎已感染此病毒,建議處理方式如下:
1、阻擋所有外部可疑連線
2、使用密碼將檔案加密
3、不要給予使用者與程式過高的權限來執行工作
4、取消自動撥放 (AutoPlay) 避免在網路上自動執行檔案
5、關閉藍芽與檔案分享功能,如需要則使用權限控管名單 (Access Control List) 或 密碼 (password) 來存取:
6、一旦有電腦被感染,立刻將其隔離
7、如果以上步驟仍無法順利清除病毒,建議您參考以下防毒廠商提供之步驟處理:
trendmicro:
https://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/trojanspy.msil.redlinestealer.yxbdn
細節描述: 該木馬程式以其他惡意軟體丟棄的文件或用戶訪問惡意站點時在不知不覺中下載的文件的形式到達系統。安裝

該木馬程式會添加以下過程:
{Malware Directory}\{Malware Filename}

它會將程式碼注入以下過程:

{Malware Directory}\{Malware Filename}

後門程式

該木馬程式會從遠端讓受駭主機執行以下命令:

Download – downloads a file to specified path
DownloadAndEx – downloads a file to specified path then execute it
OpenLink – opens a specific link in the browser
Cmd – execute commands via cmd

它會連接到以下網站以發送和接收資訊:

{BLOCKED} ri.xyz:80

資料竊取

該木馬程式會收集以下數據資料:

Gathers the following system info:

Username
Hardware ID
Keyboard Layout
Screenshot
Screen Resolution
Operating System
UAC Settings
Is Admin
GPU Information
CPU Information
Memory (RAM)
Installed Antiviruses
IP Address
Country
City
ZipCode
System Language
System Timezone
Installed Programs
Running Processes

Gathers Info from:

Browsers:

Chrome Based Browsers
Gecko Based Browsers (e.g. Firefox)

FTP Clients:

FileZilla

Messaging Applications:

Telegram

VPN:

NordVPN
OpenVPN
ProtonVPN

Wallets:

Armory
Atomic
Coinomi
Electrum
Ethereum
Exodus
Guarda
Jaxx
Metamask
Monero
Tron
Others

Others:

Steam
Discord

其他資訊

該木馬程式會執行以下操作:

顯示假的錯誤訊息:

MesageBox Title: System Error MessageBox Content: “The code execution cannot proceed because MSVCP140.dll was not found”

參考資訊: trendmicro