分析者: John Rainier Navato   
 :

Trojan.VBS.GuLoader (IKARUS)

 平台:

Windows

 总体风险等级:
 潜在破坏:
 潜在分布:
 感染次数:
 信息暴露:

  • 恶意软件类型:
    Trojan

  • 有破坏性?:
    没有

  • 加密?:
     

  • In the Wild:
    是的

  概要

感染途徑: 从互联网下载、由其他恶意软件释放

N

  技术详细信息

文件大小: 27,322 bytes
报告日期: VBS
初始樣本接收日期: 2024年5月27日
Payload: 连接URL/IP地址

Installation

该木马会添加以下进程:

  • powershell.exe "gal;gal;gal;gal;gal;gal;gal;gal;gal;Function Unsuspecting ($Tretrins){$Compassive = $Tretrins.Length-1; {Continuation of Malicious Code}"

其他信息

该木马会尝试连接以下疑似恶意的网址:

  • http://{BLOCKED}ndowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab?79cea6cafe75c3dd
  • http://{BLOCKED}ndowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab?2d0e21ba77d1c73a
  • http://{BLOCKED}ndowsupdate.com/msdownload/update/v3/static/trustedr/en/3679CA35668772304D30A5FB873B0FA77BB70D54.crt?a492e72185a034c3
  • http://{BLOCKED}ndowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab?9beb002ac978bc62
  • https://{BLOCKED}ctian1.com

  解决方案

最小扫描引擎: 9.800
First VSAPI Pattern File: 19.964.08
VSAPI 第一样式发布日期: 2025年3月17日
VSAPI OPR样式版本: 19.965.00
VSAPI OPR样式发布日期: 2025年3月18日

Step 1

在进行任何扫描之前,Windows 7、Windows 8、Windows 8.1 和 Windows 10 用户必须先执行以下操作: 禁用 系统还原 以便对电脑进行全面扫描。

Step 2

使用您的亚信安全产品扫描电脑,删除被检测为以下名称的文件 Trojan.VBS.POWRUN.B. 若亚信安全产品已将检测到的文件清除、删除或隔离,则无需再执行任何额外步骤;您也可选择直接删除隔离区中的文件。更多信息请访问以下亚信安全支持页面: