Win64.ANCHOR.A 後門程式在瀏覽惡意網站時會下載惡意檔案至電腦上

風險 等級: 低度威脅
摘   要:

防毒軟體廠商近期發現 Win64.ANCHOR.A 後門程式,利用在瀏覽惡意網站時在未發覺情形下載惡意檔案。

影響 系統:
  • Windows
解決 辦法:

若不慎已感染此病毒,建議處理方式如下:

1、阻擋所有外部可疑連線
2、使用密碼將檔案加密
3、不要給予使用者與程式過高的權限來執行工作
4、取消自動撥放 (AutoPlay) 避免在網路上自動執行檔案
5、關閉藍芽與檔案分享功能,如需要則使用權限控管名單 (Access Control List) 或 密碼 (password) 來存取:
6、一旦有電腦被感染,立刻將其隔離
7、如果以上步驟仍無法順利清除病毒,建議您參考以下防毒廠商提供之步驟處理:
細節 描述:

它會連線至特定網站以傳送和接收資訊。

安裝

它會放置下列檔案:

  • {Malware Path}\{Malware Name}.exe:$FILE → contains {Malware Path}\{Malware Name}.exe
  • {Malware Path}\{Malware Name}.exe:$GUID → contains /anchor_dns/{Workstation Name}_{Windows Version}.<{32-character long client ID}>/[0-1]/{Content}\xb[0-9]
  • {{Malware Path}\{Malware Name}.exe:$TASK → contains “{string1} autoupdate#{5 Random Numbers}.xml”
  • {{string1} can be any of the folders found on %Application Data%
  • “{string1} autoupdate#{5 Random Numbers}”.xml → a task scheduler that executes the malware sample with parameter -u every fifteenth minute

    其他詳細資訊

    它會連線至下列網站以傳送和接收資訊:
  • {Obfuscated Message Type + UUID}{Content}.{BLOCKED}ivo.com
     
  • where Message Type can be any of the following:
  • Type 0 (Sending of Data)
  • Type 1 (Preparation for receival of Data)
  • Type 2 (Receiving of Data)
參考 資訊: trendmicro (2020/01/09)

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *