HackTool.Win64.PortMap.AA.go
2025年2月6日
:
a variant of WinGo/HackTool.Agent.DO trojan (NOD32)
平台:
Windows
总体风险等级:
潜在破坏:
潜在分布:
感染次数:
信息暴露:
恶意软件类型:
Hacking Tool
有破坏性?:
没有
加密?:
In the Wild:
是的
概要
感染途徑: 从互联网下载、由其他恶意软件释放
该黑客工具通过两种途径进入系统:一是被其他恶意软件作为文件释放到系统中,二是用户访问恶意网站时在不知情的情况下下载的文件
技术详细信息
文件大小: 5,936,640 bytes
报告日期: EXE
初始樣本接收日期: 2025年2月4日
Payload: 释放文件
Arrival Details
该黑客工具通过两种途径进入系统:一是被其他恶意软件作为文件释放到系统中,二是用户访问恶意网站时在不知情的情况下下载的文件
Installation
该黑客工具会释放以下文件:
- {Grayware Path}\rst.txt
其他信息
该黑客工具接受以下参数:
- -ei
→ set ip ranges to exclude - -ep
→ set port ranges to exclude - -i
→ set domain and ips - -json → output in json format
- -l
→ input ips file - -limit
→ number of goroutines, between 1 and 2000 - -n
→ number of goroutines, between 1 and 2000 (default 800) - -nbtscan → get netbios stat by UDP137 in local network
- -nocolor → using color ascii to screen
- -o
→ success log (default "rst.txt") - -p
→ set port ranges to scan, default is top 100 - -r → random scan flag
- -t
→ tcp connect time out default 0.5 second (default 0.5) - -t1000 → scan top 1000 ports
- -tracefile
→ request log - -h | --help → display list of commands
解决方案
最小扫描引擎: 9.800
SSAPI样式文件: 2.807.00
SSAPI样式发布日期: 2025年2月6日
Step 1
在进行任何扫描之前,Windows 7、Windows 8、Windows 8.1 和 Windows 10 用户必须先执行以下操作: 禁用 系统还原 以便对电脑进行全面扫描。
Step 2
注意:在此恶意软件/间谍软件/灰色软件执行期间,并非所有文件、文件夹和注册表键值和项都会安装到您的计算机上。这可能是由于不完整的安装或其他操作系统条件所致。如果您没有找到相同的文件/文件夹/注册表信息,请继续进行下一步操作。
Step 3
搜索并删除此文件
[ 更多 ]
某些文件可能被隐藏,请务必勾选 搜索隐藏的文件和文件夹 勾选框 "更多进阶选项" 选项,以在搜索结果中包含所有隐藏的文件和文件夹。 - {Grayware Path}\rst.txt
要手动从受感染系统中删除恶意软件/灰色软件文件:
•适用于 Windows 7、Windows Server 2008 (R2)、Windows 8、Windows 8.1、Windows 10 及 Windows Server 2012 (R2):
- 打开 Windows 资源管理器窗口。
- 对于 Windows 7 和 Server 2008 (R2) 用户:点击Start>Computer.
- 对于 Windows 8、8.1、10 及 Server 2012 (R2) 用户: 右键单击 屏幕左下角,然后点击File Explorer.
- 在搜索计算机/此电脑输入框中,键入:
- {Grayware Path}\rst.txt
- 定位到该文件后,选中并按 SHIFT+DELETE 将其删除。
*Note:阅读以下微软官方页面 若上述步骤在 Windows 7 和 Windows Server 2008 (R2) 系统上无效:
Step 4
使用您的亚信安全产品扫描电脑,删除被检测为以下名称的文件 HackTool.Win64.PortMap.AA.go. 若亚信安全产品已将检测到的文件清除、删除或隔离,则无需再执行任何额外步骤;您也可选择直接删除隔离区中的文件。更多信息请访问以下亚信安全支持页面: