Backdoor.PHP.NODESNAKE.THAEBE
Script:SNH-gen [Trj] (AVAST)
Windows
恶意软件类型:
Backdoor
有破坏性?:
没有
加密?:
In the Wild:
是的
概要
该后门程序通过两种途径进入系统:一是被其他恶意软件作为文件释放到系统中,二是用户访问恶意网站时在不知情的情况下下载的文件。
技术详细信息
Arrival Details
该后门程序通过两种途径进入系统:一是被其他恶意软件作为文件释放到系统中,二是用户访问恶意网站时在不知情的情况下下载的文件。
Installation
此后门程序会添加以下进程:
- cmd.exe /s /c "powershell -c "tasklist /svc /FO CSV | ConvertFrom-Csv | ConvertTo-Json""
- cmd.exe /s /c "powershell -c "Get-Service | Select-Object -Property Name, DisplayName | ConvertTo-Json""
- cmd.exe /s /c "powershell -c "Get-NetNeighbor -AddressFamily IPv4 | Where-Object { $_.State -ne 'Permanent' } | Select-Object @{Name='Interface'; Expression={$_.InterfaceAlias}}, @{Name='Internet Address'; Expression={$_.IPAddress}}, @{Name='Physical Address'; Expression={$_.LinkLayerAddress}}, @{Name='Type'; Expression={'dynamic'}} | ConvertTo-Json""
- cmd.exe /s /c "powershell -c "Get-PSDrive -PSProvider FileSystem | ConvertTo-Json""
下载例程
该后门程序会连接以下网站以下载并执行恶意文件:
- https://{BLOCKED}s.org/dist/v21.7.3/node-v21.7.3-win-x64.zip
- http://{BLOCKED}s.org/dist/v21.7.3/node-v21.7.3-win-x64.zip
Information Theft
该后门程序会收集以下数据:
- Services
- Network neighbors
- Drive information
- System Information
其他信息
该后门程序接收以下参数:
- EXE → 该后门程序会下载Windows可执行文件(.exe),将其保存至临时文件夹并运行。
- DLL → 该后门程序会下载动态链接库(.dll)文件,并通过Windows系统工具rundll32.exe执行该文件。.
- JS → 该后门程序会在%Application Data%文件夹中下载JS文件
- AUTORUN → 该后门程序会建立持久化机制。
- CMD → 该后门程序会执行攻击者发送的任何shell命令,使攻击者获得受害者机器的远程命令提示符控制权。
- OFF → 该后门程序会执行自我关闭。
(Note: %Application Data% 是当前用户的 Application Data 文件夹,通常路径为:C:\Documents and Settings\{user name}\Application Data 在Windows 2000(32位)、XP及Server 2003(32位)系统上,或 C:\Users\{user name}\AppData\Roaming 在Windows Vista、7、8、8.1、2008(64位)、2012(64位)及10(64位)系统上。)
解决方案
Step 1
在进行任何扫描之前,Windows 7、Windows 8、Windows 8.1 和 Windows 10 用户必须先执行以下操作: 禁用 系统还原 以便对电脑进行全面扫描。
Step 2
使用您的亚信安全产品扫描电脑,删除被检测为以下名称的文件 Backdoor.PHP.NODESNAKE.THAEBE. 若亚信安全产品已将检测到的文件清除、删除或隔离,则无需再执行任何额外步骤;您也可选择直接删除隔离区中的文件。更多信息请访问以下亚信安全支持页面: