Trojan.PS1.DEADLOCK.YXFGV
2025年7月24日
平台:
Windows
总体风险等级:
潜在破坏:
潜在分布:
感染次数:
信息暴露:
恶意软件类型:
Trojan
有破坏性?:
没有
加密?:
没有
In the Wild:
是的
概要
感染途徑: 从互联网下载、由其他恶意软件释放
该木马通过两种途径进入系统:一是被其他恶意软件作为文件释放到系统中,二是用户访问恶意网站时在不知情的情况下下载的文件。
技术详细信息
文件大小: 5,870 bytes
报告日期: PS1
内存驻留: 没有
初始樣本接收日期: 2025年7月22日
Payload: Disables services, Deletes files
Arrival Details
该木马通过两种途径进入系统:一是被其他恶意软件作为文件释放到系统中,二是用户访问恶意网站时在不知情的情况下下载的文件。
Installation
该木马会添加以下进程:
- powershell.exe -Verb RunAs -ArgumentList ('exec bypass -file "{malware fullpath}" -elevated' -f (%myinvocation.MyCommand.Definition))
其他信息
该木马程序会执行以下操作:
- It deletes itself after its malicious routine.
- 该程序会检测自身是否具有管理员权限。
- 该程序通过删除以下WMI对象来移除系统卷影副本:
- Win32_ShadowCopy
- 该程序会禁用系统中除以下服务外的所有运行中服务:
- UdkUserSvc*
- DevicesFlowUserSvc*
- AarSvc*
- WpnUserService*
- CDPUserSvc*
- cbdhsvc*
- UserDataSvc*
- PimIndexMaintenanceSvc*
- UnistoreSvc*
- vmicguestinterface
- vmicheartbeat
- vmickvpexchange
- vmicrdv
- vmicshutdown
- vmictimesync
- vmicvss
- LicenseService
- MSSEARCH
- smphost
- SrmReports
- SrmSvc
- ddpvssvc
- msiserver
- KtmRm
- DeviceInstall
- Onesyncsvc*
- WsusService
- NgcSvc
- ClipSVC
- ALG
- FileSyncHelper
- LxpSvc
- dmwappushservice
- PeerDistSvc
- Eaphost
- WlanSvc
- WwanSvc
- dot3svc
- server
- workstation
- WinDefend
- WSRM
- WINS
- silsvc
- WaaSMedicSvc
- NgcCtnrSvc
- RmSvc
- Adws
- adfssrv
- Aelookupsvc
- Anydesk
- Apphostsvc
- Appinfo
- Appmgmt
- Appxsvc
- Bfe
- Bits
- Brokerinfrastructure
- Browser
- Bthavctpsvc
- camsvc
- Cdpsvc
- Certpropsvc
- CscService
- Certsvc
- SmbWitness
- Clussvc
- Comsysapp
- Coremessagingregistrar
- Cryptsvc
- MMCSS
- Dbxsvc
- dbupdate
- dbupdatem
- Dcomlaunch
- Deviceassociationservice
- Dfs
- NfsClnt
- NfsService
- Dfsr
- Dhcp
- Dhcpserver
- Diagtrack
- TabletInputService
- DispBrokerDesktopSvc
- Dns
- Dnscache
- Dnsproxy
- Dosvc
- Dps
- Dsmsvc
- DusmSvc
- Dssvc
- Efs
- Eventlog
- NtLmSsp
- Eventsystem
- Fdphost
- Fdrespub
- Fontcache*
- Gpsvc
- Hidserv
- Hvhost
- Ias
- Ikeext
- Iphlpsvc
- Ismserv
- Kdc
- Kdssvc
- Keyiso
- Kpssvc
- Lanmanserver
- Lanmanworkstation
- Lfsvc
- Licensemanager
- Lmhosts
- Lsm
- LSM
- Mpssvc
- Msdtc
- WinTarget
- Msiscsi
- Msmq
- Ncbservice
- Netlogon
- Netman
- Netprofm
- Netsetupsvc
- WZCSVC
- Nlasvc
- Nla
- SharedAccess
- Nsi
- Ntds
- Ntfrs
- UPlugPlay
- Plugplay
- Policyagent
- Power
- Profsvc
- Psexesvc
- Ramgmtsvc
- Rasauto
- Rasman
- Remoteaccess
- Remoteregistry
- Rpceptmapper
- Rpchttplbs
- Rpcss
- Samss
- Scdeviceenum
- Schedule
- Seclogon
- Securityhealthservice
- Sens
- Sessionenv
- Shellhwdetection
- Ssdpsrv
- Sstpsvc
- Staterepository
- SgrmBroker
- Stisvc
- Storsvc
- Swprv
- Sysmain
- ProtectedStorage
- Systemeventsbroker
- RDMS
- rpcapd
- Tapisrv
- Termservice
- Tssdis
- TScPubRPC
- TermServLicensing
- Themes
- Tiledatamodelsvc
- Timebroker
- Timebrokersvc
- Tokenbroker
- Trkwks
- Trustedinstaller
- Tsgateway
- Ualsvc
- uhssvc
- Umrdpservice
- Upnphost
- Usermanager
- Uxsms
- OneDrive Updater Service
- lltdsvc
- Vaultsvc
- Vds
- vmicvmsession
- Vmcompute
- Vmms
- nvspwmi
- vhdsvc
- Vss
- W32time
- Was
- Wcmsvc
- wcncsvc
- wscsvc
- Wdiservicehost
- Webclient
- Winhttpautoproxysvc
- Winmgmt
- Winrm
- Wlidsvc
- Wmiapsrv
- Wpdbusenum
- Wpnservice
- Wsearch
- dmserver
- Wuauserv
- It deletes all network shares except the following:
- SYSVOL
- NETLOGON
- It deletes the following shared folders:
- prnproc
解决方案
最小扫描引擎: 9.800
First VSAPI Pattern File: 20.344.05
VSAPI 第一样式发布日期: 2025年7月22日
VSAPI OPR样式版本: 20.345.00
VSAPI OPR样式发布日期: 2025年7月23日
Step 1
在进行任何扫描之前,Windows 7、Windows 8、Windows 8.1 和 Windows 10 用户必须先执行以下操作: 禁用 系统还原 以便对电脑进行全面扫描。
Step 2
使用您的亚信安全产品扫描电脑,删除被检测为以下名称的文件 Trojan.PS1.DEADLOCK.YXFGV. 若亚信安全产品已将检测到的文件清除、删除或隔离,则无需再执行任何额外步骤;您也可选择直接删除隔离区中的文件。更多信息请访问以下亚信安全支持页面: