Trojan.INF.HIDDENTEAR.THAOGBA
INF/Agent.J trojan (NOD32)
Windows
恶意软件类型:
Trojan
有破坏性?:
没有
加密?:
没有
In the Wild:
是的
概要
N它以其他恶意软件释放的文件或用户访问恶意网站时不知不觉下载的文件的形式到达系统。
用户打开驱动器时,它会自动执行文件。
技术详细信息
新病毒详细信息
It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.
传播
上述的 .INF 檔案含有下列字串:
[version]
Signature=$chicago$
AdvancedINF=2.5
[DefaultInstall]
CustomDestination=CustInstDestSectionAllUsers
RunPreSetupCommands=RunPreSetupCommandsSection
[RunPreSetupCommandsSection]
; Commands Here will be run Before Setup Begins to install
cmd /c start "C:\Windows\temp\{Random Characters}.exe"
taskkill /IM cmstp.exe /F
[CustInstDestSectionAllUsers]
49000,49001=AllUSer_LDIDSection, 7
[AllUSer_LDIDSection]
"HKLM", "SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\CMMGR32.EXE", "ProfileInstallPath", "%UnexpectedError%", ""
[Strings]
ServiceName="Crimson"
ShortSvcName="Crimson"
其他详细信息
用户打开驱动器时,它会自动执行以下文件:
- C:\Windows\temp\{Random Characters}.exe
- taskkill /IM cmstp.exe /F
解决方案
Step 1
对于Windows ME和XP用户,在扫描前,请确认已禁用系统还原功能,才可全面扫描计算机。
Step 2
搜索和删除AUTORUN.INF文件,由Trojan.INF.HIDDENTEAR.THAOGBA创建,包含这些字符串
- [version]
Signature=$chicago$
AdvancedINF=2.5
[DefaultInstall]
CustomDestination=CustInstDestSectionAllUsers
RunPreSetupCommands=RunPreSetupCommandsSection
[RunPreSetupCommandsSection]
; Commands Here will be run Before Setup Begins to install
cmd /c start "C:\Windows\temp\{Random Characters}.exe"
taskkill /IM cmstp.exe /F
[CustInstDestSectionAllUsers]
49000,49001=AllUSer_LDIDSection, 7
[AllUSer_LDIDSection]
"HKLM", "SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\CMMGR32.EXE", "ProfileInstallPath", "%UnexpectedError%", ""
[Strings]
ServiceName="Crimson"
ShortSvcName="Crimson"
Step 3
使用趋势科技产品扫描计算机,并删除检测到的Trojan.INF.HIDDENTEAR.THAOGBA文件 如果检测到的文件已被趋势科技产品清除、删除或隔离,则无需采取进一步措施。可以选择直接删除隔离的文件。请参阅知识库页面了解详细信息。