Trojan.PS1.PCASTLE.B
2019年3月22日
:
PowerShell/TrojanDownloader.Agent.DV(ESET-NOD32)
平台:
Windows
总体风险等级:
潜在破坏:
潜在分布:
感染次数:
信息暴露:
恶意软件类型:
Trojan
有破坏性?:
没有
加密?:
In the Wild:
是的
技术详细信息
文件大小: 3,122,543 bytes
报告日期: PS1
内存驻留: 是的
初始樣本接收日期: 2019年3月12日
安装
它植入下列文件:
- %User Temp%\{random}\{random}.tmp
- %User Temp%\{random}\{random}.0.cs
- %User Temp%\{random}\{random}.dll
- %User Temp%\{random}\{random}.cmdline
- %User Temp%\{random}\{random}.out
- %User Temp%\{random}\{random}.err
(注意: %User Temp% 是当前用户的 Temp 文件夹。通常位于 C:\Documents and Settings\{user name}\Local Settings\Temp (Windows 2000、XP 和 Server 2003)。)
它添加下列进程:
- "%System%\whoami.exe" /user
- "%System%\getmac.exe" /FO CSV
- "%System%\ipconfig.exe" /all
- "%System%\ipconfig.exe" /displaydns
- "%System%\NETSTAT.EXE" -ano
- "%Windows%\Microsoft.NET\Framework\v4.0.30319\csc.exe" /noconfig /fullpaths @"%User Temp%\{random}\{random}.cmdline"
(注意: %System% 是 Windows 的 system 文件夹,通常位于 C:\Windows\System (Windows 98 和 ME)、C:\WINNT\System32 (Windows NT 和 2000) 和 C:\WINDOWS\system32 (Windows XP 和 Server 2003)。. %User Temp% 是当前用户的 Temp 文件夹。通常位于 C:\Documents and Settings\{user name}\Local Settings\Temp (Windows 2000、XP 和 Server 2003)。)
解决方案
最小扫描引擎: 9.850
First VSAPI Pattern File: 14.868.03
VSAPI 第一样式发布日期: 2019年3月13日
VSAPI OPR样式版本: 14.867.00
VSAPI OPR样式发布日期: 2019年3月14日
Step 1
对于Windows ME和XP用户,在扫描前,请确认已禁用系统还原功能,才可全面扫描计算机。
Step 3
确定和终止Trojan.PS1.PCASTLE.B检测到的文件
[ 更多 ]
Step 4
搜索和删除该文件
[ 更多 ]
有些组件文件可能是隐藏的。请确认在高级选项中已选中搜索隐藏文件和文件夹复选框,使查找结果包括所有隐藏文件和文件夹。 - %User Temp%\{random}\{random}.tmp
- %User Temp%\{random}\{random}.0.cs
- %User Temp%\{random}\{random}.dll
- %User Temp%\{random}\{random}.cmdline
- %User Temp%\{random}\{random}.out
- %User Temp%\{random}\{random}.err
Step 5
使用趋势科技产品扫描计算机,并删除检测到的Trojan.PS1.PCASTLE.B文件 如果检测到的文件已被趋势科技产品清除、删除或隔离,则无需采取进一步措施。可以选择直接删除隔离的文件。请参阅知识库页面了解详细信息。