Trojan.BAT.MEKOTIO.B
2024年8月30日
:
HEUR:Trojan.BAT.Generic (KASPERSKY)
平台:
Windows
总体风险等级:
潜在破坏:
潜在分布:
感染次数:
信息暴露:
恶意软件类型:
Trojan
有破坏性?:
没有
加密?:
In the Wild:
是的
概要
感染途徑: 从互联网上下载, 下载了其他恶意软件
它以文件的形式出现在系统中,可能是其他恶意软件投放的,或者是用户在访问恶意网站时无意中下载的。
技术详细信息
文件大小: 3,779 bytes
报告日期: BAT
内存驻留: 没有
初始樣本接收日期: 2024年8月27日
Payload: 连接到 URL/Ip
新病毒详细信息
它以文件的形式出现在系统中,可能是其他恶意软件投放的,或者是用户在访问恶意网站时无意中下载的。
安装
它植入下列文件:
- %User Temp%\{8 Random Characters}.{3 Random Characters}.ps1 → Deleted afterwards
- %User Temp%\{8 Random Characters}.{3 Random Characters}.psm1 → Deleted afterwards
- %AppDataLocal%\Microsoft\Windows\PowerShell\StartupProfileData-NonInteractive
(注意: %User Temp% 是当前用户的 Temp 文件夹。通常位于 C:\Documents and Settings\{user name}\Local Settings\Temp (Windows 2000(32-bit)、XP 和 Server 2003(32-bit))、C:\Users\{user name}\AppData\Local\Temp (Windows Vista、7、8、8.1、2008(64-bit)、2012(64-bit) 和 10(64-bit)。)
它添加下列进程:
- "cmd.exe /S /D /c" echo %ONPyZ4Vn0PUhRyls%
- powershell.exe -exec bypass -nop -win 1 -
其他详细信息
它连接到以下可疑的网址:
- http://{BLOCKED}.{BLOCKED}.{BLOCKED}.1/contadores/L4n0NHf.php?Pj96=mVgXVh6SQIi7gUGjRR5GewCgBGZHgM9ntsN2qyDYjki37p0beUyLi6urS5R2LZmDvGescVH