Trojan.PS1.ERROR.A
2025年8月1日
:
Trojan.PowerShell.Kimsuky (IKARUS)
平台:
Windows
总体风险等级:
潜在破坏:
潜在分布:
感染次数:
信息暴露:
恶意软件类型:
Trojan
有破坏性?:
没有
加密?:
In the Wild:
是的
概要
感染途徑: 从互联网下载、由其他恶意软件释放
该木马通过两种途径进入系统:一是被其他恶意软件作为文件释放到系统中,二是用户访问恶意网站时在不知情的情况下下载的文件。
技术详细信息
文件大小: 2,708 bytes
报告日期: PS1
内存驻留: 没有
初始樣本接收日期: 2025年5月9日
Payload: 连接URL/IP地址
Arrival Details
该木马通过两种途径进入系统:一是被其他恶意软件作为文件释放到系统中,二是用户访问恶意网站时在不知情的情况下下载的文件。
下载例程
该木马会连接以下网站以下载并执行恶意文件:
- https://{BLOCKED}pboxusercontent.com/scl/fi/vx23391zdxqu3qirc5z7g/241002-2024-GA-10-v2.pdf?rlkey=ih6seocq7csa4iab3md4m9m08&st=6sj4yyzp&dl=0
- https://{BLOCKED}pboxusercontent.com/scl/fi/gs58u6qvvxorzttv09yvt/kxsxhx-x.txt?rlkey=v86pd7i2njm7u0pfutl0knu68&st=zy1w6n67&dl=0
- https://{BLOCKED}pboxusercontent.com/scl/fi/sumch8o12a4ko7wqqtrgo/kxsxhx-f.txt?rlkey=i8yto5xg3unffs9wawhytu1v4&st=yj9eqlep&dl=0
它会使用以下名称保存下载的文件:
- %Application Data%\chrome.ps1
- %Application Data%\temp.ps1
- %Application Data%\system_first.ps1
(Note: %Application Data% 是当前用户的 Application Data 文件夹,通常路径为:C:\Documents and Settings\{user name}\Application Data 在Windows 2000(32位)、XP及Server 2003(32位)系统上,或 C:\Users\{user name}\AppData\Roaming 在Windows Vista、7、8、8.1、2008(64位)、2012(64位)及10(64位)系统上。)
其他信息
This Trojan adds the following scheduled tasks:
- Name: ChromeUpdateTaskMachine
Trigger: Starts 5 minutes from execution → after triggered, repeat every 30 minutes indefinitely
Action: Start a program → PowerShell.exe' -Argument '-WindowStyle Hidden -nop -NonInteractive -NoProfile -ExecutionPolicy Bypass -Command "& {$abc = Join-Path ($env:AppData) \"chrome.ps1\"; & $abc;}"';
解决方案
最小扫描引擎: 9.800
First VSAPI Pattern File: 20.366.02
VSAPI 第一样式发布日期: 2025年8月1日
VSAPI OPR样式版本: 20.367.00
VSAPI OPR样式发布日期: 2025年8月2日
Step 1
在进行任何扫描之前,Windows 7、Windows 8、Windows 8.1 和 Windows 10 用户必须先执行以下操作: 禁用 系统还原 以便对电脑进行全面扫描。
Step 2
使用您的亚信安全产品扫描电脑,删除被检测为以下名称的文件 Trojan.PS1.ERROR.A. 若亚信安全产品已将检测到的文件清除、删除或隔离,则无需再执行任何额外步骤;您也可选择直接删除隔离区中的文件。更多信息请访问以下亚信安全支持页面: