BKDR_EMDIVI.ZJCH-A
2015年9月1日
平台:
Windows
总体风险等级:
潜在破坏:
潜在分布:
感染次数:
信息暴露:
恶意软件类型:
Backdoor
有破坏性?:
没有
加密?:
是的
In the Wild:
是的
概要
感染途徑: 从互联网上下载,或由其他恶意软件释放。
它以其他恶意软件释放的文件或用户访问恶意网站时不知不觉下载的文件的形式到达系统。它开始执行然后再删除。
技术详细信息
文件大小: 250,702 bytes
报告日期: None
内存驻留: 是的
初始樣本接收日期: 2015年7月24日
Payload: 连接到 URL/Ip, 收集系统信息, 危害系统安全
安装
它添加下列进程:
- svchost.exe
它添加下列互斥条目,确保一次只会运行一个副本:
- 58e034ea0c370efbd9c8764ebf8bd197
- iL463655Oh75jM578996Pd675475
它向下列进程中注入代码:
- created svchost.exe
传播
该恶意软件不具有任何传播例程。
后门例程
它执行远程恶意用户的下列命令:
- Enumerate files and folders
- Delete files and folders
- Download files
- Upload files
- Execute files
- Get file attributes
- Enumerate processes
- Perform remote shell
- Loads a library using LoadLibrary API
- Import functions from a library using GetProcAddress API
- Choose HTTP Authentication
- Setup Proxy auto-configuration
- Gather Firefox settings from prefs.js
- Gather proxy settings from proxy.pac
- Gather proxy settings from windows registry
- Sleep
信息窃取
它会从受感染的系统检索以下信息:
- Host name
- Process ID of the malware
- Memory Size (RAM)
- Internet Explorer Version
- Windows OS Version
- System Language
- Location
- Time Zone Information
其他详细信息
它要求下列额外的组件正常运行:
- {malware path}\iusb3mon.dll ← used to decrypt and load itself; detected as TROJ_EMDIVI.ZJCH-A
解决方案
最小扫描引擎: 9.750
First VSAPI Pattern File: 11.862.05
VSAPI 第一样式发布日期: 2015年8月18日
VSAPI OPR样式版本: 11.863.00
VSAPI OPR样式发布日期: 2015年8月19日
Step 1
对于Windows ME和XP用户,在扫描前,请确认已禁用系统还原功能,才可全面扫描计算机。
Step 3
删除BKDR_EMDIVI.ZJCH-A植入或下载的恶意软件文件
- TROJ_EMDIVI.ZJCH-A
Step 4
确定和终止BKDR_EMDIVI.ZJCH-A检测到的文件
[ 更多 ]
Step 5
使用亚信安全产品扫描计算机,并删除检测到的BKDR_EMDIVI.ZJCH-A文件 如果检测到的文件已被亚信安全产品清除、删除或隔离,则无需采取进一步措施。可以选择直接删除隔离的文件。请参阅知识库页面了解详细信息。