HackTool.Win32.OneKeyRe.A

2024年12月18日

分析者: Neljorn Nathaniel Aguas

Win32/StartPage.OWF trojan (NOD32)

平台:

Windows

总体风险等级:

潜在破坏:

潜在分布:

感染次数:

信息暴露:

恶意软件类型:
Hacking Tool
有破坏性？:
没有
加密？:
In the Wild:
是的

概要

感染途徑: 从互联网上下载, 下载了其他恶意软件

它以文件的形式出现在系统中，可能是其他恶意软件投放的，或者是用户在访问恶意网站时无意中下载的。

技术详细信息

文件大小: 6,305,368 bytes

初始樣本接收日期: 2023年1月6日

Payload: 植入文件

新病毒详细信息

它以文件的形式出现在系统中，可能是其他恶意软件投放的，或者是用户在访问恶意网站时无意中下载的。

安装

它植入下列文件：

%System Root%\Boot\BCD_.LOG{Number}
%System Root%\okldr
%System Root%\okldr.mbr
%System Root%\YlmF.ima
%System Root%\Ghost.ba_
%User Temp%\Ghost.exe
%User Temp%\WimaDll.dll
{Backup Path}\{Backup Filename} → set by the user when creating a backup of the system

(注意： %System Root% 是根文件夹，通常位于 C:\。它也是操作系统所在的位置。. %User Temp% 是当前用户的 Temp 文件夹。通常位于 C:\Documents and Settings\{user name}\Local Settings\Temp (Windows 2000(32-bit)、XP 和 Server 2003(32-bit))、C:\Users\{user name}\AppData\Local\Temp (Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit) 和 10(64-bit)。)

它添加下列进程：

%System%\BCDEdit.exe /export %System Root%\Boot\BCD_
%System%\BCDEdit.exe /create {GUID} /d "OneKey Recovery" /application bootsector
%System%\BCDEdit.exe /set {GUID} path \okldr.mbr
%System%\BCDEdit.exe /displayorder {GUID} /addlast
%System%\BCDEdit.exe /timeout 3
%System%\BCDEdit.exe /default {GUID}
%System%\BCDEdit.exe /set {GUID} device partition=\Device\HarddiskVolume1

(注意： %System Root% 是根文件夹，通常位于 C:\。它也是操作系统所在的位置。)

其他详细信息

该程序执行以下操作：

The dropped Ghost.ba_ contains the following batch commands:
- Ghost.exe -noide -nousb -clone,mode=pdump,src="{Source Partition Index}",dst="{Destination Partition Index}\Ghost\Bak.GHO" -fr restart
It is a system backup and restore tool that allows users to create a full system image and restore it when needed.
It integrates Norton Ghost as its core engine for disk imaging and restoration.
It offers options to restore or back up the operating system.
It allows users to install or repair the recovery system.
It contains a field that allows users to select or input the location of the backup image file.
It displays all detected drives and partitions which includes the following information:
- Partition Sequence
- Volume Label
- File System Format
- Free Space
- Total Capacity
It allows users to select specific drives or partitions for restoration or backup.
It allows users to search for backup files such as .GHO within a specified directory depth.
It offers the following compression levels:
- No Compression
- Fast Compression
- High Compression
- Maximum Compression
Users can choose between the following Ghost versions:
- 11.0.2
- 11.5.1
- Other Ghost executables provided by the user
It has an option to disable access to IDE devices during backup operations.
It allows users to choose between the operating system boot menu or a hotkey for recovery.
It provides the following hotkey options for triggering the recovery process during boot:
- F7
- F8
- F10
- F11
- F12

解决方案

最小扫描引擎: 9.800

SSAPI样式文件: 2.587.00

SSAPI样式发布日期: 2023年1月12日

Step 1

对于Windows ME和XP用户，在扫描前，请确认已禁用系统还原功能，才可全面扫描计算机。

Step 2

注意：在此恶意软件/间谍软件/灰色软件执行期间，并非所有文件、文件夹和注册表键值和项都会安装到您的计算机上。这可能是由于不完整的安装或其他操作系统条件所致。如果您没有找到相同的文件/文件夹/注册表信息，请继续进行下一步操作。

Step 3

搜索和删除这些文件

[ 更多 ]

有些组件文件可能是隐藏的。请确认在"高级选项"中已选中搜索隐藏文件和文件夹复选框，使查找结果包括所有隐藏文件和文件夹。

%System Root%\Boot\BCD_.LOG{Number}
%System Root%\okldr
%System Root%\okldr.mbr
%System Root%\YlmF.ima
%System Root%\Ghost.ba_
%User Temp%\Ghost.exe
%User Temp%\WimaDll.dll
{Backup Path}\{Backup Filename}

DATA_GENERIC_FILENAME_1

在查找范围下拉列表中，选择

我的电脑然后回车确认。

一旦找到，请选择文件，然后按下SHIFT+DELETE彻底删除文件。

对剩余的文件重复第2到4步：
%System Root%\Boot\BCD_.LOG{Number}
%System Root%\okldr
%System Root%\okldr.mbr
%System Root%\YlmF.ima
%System Root%\Ghost.ba_
%User Temp%\Ghost.exe
%User Temp%\WimaDll.dll
{Backup Path}\{Backup Filename}

Step 4

使用亚信安全产品扫描计算机，并删除检测到的HackTool.Win32.OneKeyRe.A文件如果检测到的文件已被亚信安全产品清除、删除或隔离，则无需采取进一步措施。可以选择直接删除隔离的文件。请参阅知识库页面了解详细信息。