Backdoor.MSIL.DCRAT.THCBABE
2025年4月17日
:
Trojan-Spy.AgentTesla, Trojan-Spy.AgentTesla (IKARUS)
平台:
Windows
总体风险等级:
潜在破坏:
潜在分布:
感染次数:
信息暴露:
恶意软件类型:
Backdoor
有破坏性?:
没有
加密?:
In the Wild:
是的
概要
该后门程序通过两种途径进入系统:一是被其他恶意软件作为文件释放到系统中,二是用户访问恶意网站时在不知情的情况下下载的文件。
该程序会连接至网站进行信息收发。
技术详细信息
文件大小: 753,664 bytes
报告日期: EXE
初始樣本接收日期: 2025年3月21日
Arrival Details
该后门程序通过两种途径进入系统:一是被其他恶意软件作为文件释放到系统中,二是用户访问恶意网站时在不知情的情况下下载的文件。
Installation
此后门程序会添加以下进程:
- cmd.exe /C ping 1.1.1.1 -n 1 -w 3000 > Nul & Del
它会将代码注入以下进程中:
- installutil.exe
Backdoor Routine
此后门程序会连接以下网站进行信息收发:
- {BLOCKED}.{BLOCKED}.{BLOCKED}.237:80
- http://{BLOCKED}.{BLOCKED}.{BLOCKED}.214.237/cdn/7Temp/updateexternalprotonAsync/multiImagepythoncdn/Sqlwp/ProtectTo/AsyncTempjavascript/Image4/Base7trafficCentral/2LinuxJavascriptProcessor/trafficwordpressLine/defaultwp7/Multi/VmrequestPacketSqlPublicdownloads.php
其他信息
该后门程序会执行以下操作:
- It is capable of doing:
- keystroke logging
- webcam access
- file grabbing
- password exfiltration
解决方案
最小扫描引擎: 9.800
First VSAPI Pattern File: 19.972.04
VSAPI 第一样式发布日期: 2025年3月21日
VSAPI OPR样式版本: 19.973.00
VSAPI OPR样式发布日期: 2025年3月22日
Step 1
亚信安全测性机器学习可在恶意软件初现时、尚未在系统执行前便及时检测并拦截。启用此功能后,您的亚信安全产品会使用以下机器学习命名标识检测该恶意软件:
- TROJ.Win32.TRX.XXPE50FFF091
Step 2
在进行任何扫描之前,Windows 7、Windows 8、Windows 8.1 和 Windows 10 用户必须先执行以下操作: 禁用 系统还原 以便对电脑进行全面扫描。
Step 3
使用您的亚信安全产品扫描电脑,删除被检测为以下名称的文件 Backdoor.MSIL.DCRAT.THCBABE. 若亚信安全产品已将检测到的文件清除、删除或隔离,则无需再执行任何额外步骤;您也可选择直接删除隔离区中的文件。更多信息请访问以下亚信安全支持页面: