Trojan.W97M.FRS.VSNW1FC25

2025年4月10日

分析者: Neljorn Nathaniel Aguas

HEUR:Trojan-Dropper.Script.Generic (KASPERSKY)

平台:

Windows

总体风险等级:

潜在破坏:

潜在分布:

感染次数:

信息暴露:

恶意软件类型:
Trojan
有破坏性？:
没有
加密？:
In the Wild:
是的

概要

感染途徑: 从互联网下载、由其他恶意软件释放

该木马通过两种途径进入系统：一是被其他恶意软件作为文件释放到系统中，二是用户访问恶意网站时在不知情的情况下下载的文件。

技术详细信息

文件大小: 638,560 bytes

报告日期: DOCX

内存驻留: 是的

初始樣本接收日期: 2025年3月31日

Payload: 释放文件, 修改系统注册表

Arrival Details

该木马通过两种途径进入系统：一是被其他恶意软件作为文件释放到系统中，二是用户访问恶意网站时在不知情的情况下下载的文件。

Installation

该木马程序会释放以下文件：

%User Temp%\Client.vbe → deleted afterwards
%Application Data%\sfMDuuAQgkRkmby.vbs

(Note: %User Temp% 是当前用户的临时文件夹,通常位于此路径 C:\Documents and Settings\{user name}\Local Settings\Temp 在Windows 2000（32位）、XP及Server 2003（32位）系统上，或 C:\Users\{user name}\AppData\Local\Temp on Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) and 10(64-bit).. %Application Data% 是当前用户的 Application Data 文件夹，通常路径为：C:\Documents and Settings\{user name}\Application Data 在Windows 2000（32位）、XP及Server 2003（32位）系统上，或 C:\Users\{user name}\AppData\Roaming 在Windows Vista、7、8、8.1、2008（64位）、2012（64位）及10（64位）系统上。）

它会添加以下进程：

CmD.exe /C cscript %tmp%\Client.vbe AC
"%System%\WindowsPowerShell\v1.0\powershell.exe" -ExecutionPolicy Bypass -windowstyle hidden -noexit -Command [AppDomain]::CurrentDomain.Load([Convert]::FromBase64String((-join (Get-ItemProperty -LiteralPath 'HKEY_CURRENT_USER:\Software\sfMDuuAQgkRkmby' -Name 's').s | ForEach-Object {$_[-1..-($_.Length)]}))); [b.b]::b('sfMDuuAQgkRkmby')
%Application Data%\sfMDuuAQgkRkmby.vbs
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe"

(Note: %System% 是Windows系统文件夹,通常位于此路径 C:\Windows\System32 适用于所有Windows操作系统版本。 %Application Data% 是当前用户的 Application Data 文件夹，通常路径为：C:\Documents and Settings\{user name}\Application Data 在Windows 2000（32位）、XP及Server 2003（32位）系统上，或 C:\Users\{user name}\AppData\Roaming 在Windows Vista、7、8、8.1、2008（64位）、2012（64位）及10（64位）系统上。）

其他系统修改

该木马会添加以下注册表项：

HKEY_CURRENT_USER\Software\sfMDuuAQgkRkmby
Path = sfMDuuAQgkRkmby

HKEY_CURRENT_USER\Software\sfMDuuAQgkRkmby
in = 1

HKEY_CURRENT_USER\Software\sfMDuuAQgkRkmby
i = RegAsm.exe

HKEY_CURRENT_USER\Software\sfMDuuAQgkRkmby
cn = Stop-Process -Name conhost -Force

HKEY_CURRENT_USER\Software\sfMDuuAQgkRkmby
v = {[}AppDomain{]}::CurrentDomain.Load{(}[Convert{]}::FromBase64String{(}{(}-join {(}Get-ItemProperty -LiteralPath 'HKEY_CURRENT_USER:\Software\sfMDuuAQgkRkmby' -Name 's'{)}.s | ForEach-Object {{}$_{[}-1..-{(}$_.Length{)}{]}{}}{)}{)}{)}; {[}b.b{]}::b{(}'sfMDuuAQgkRkmby'{)}

HKEY_CURRENT_USER\Software\sfMDuuAQgkRkmby
r = {Reversed PE Binary String}

HKEY_CURRENT_USER\Software\sfMDuuAQgkRkmby
s = {Reversed Base64 String}

HKEY_CURRENT_USER\Software\sfMDuuAQgkRkmby
instant = powershell.exe -ExecutionPolicy Bypass -windowstyle hidden -noexit -Command [AppDomain]::CurrentDomain.Load([Convert]::FromBase64String((-join (Get-ItemProperty -LiteralPath 'HKEY_CURRENT_USER:\Software\sfMDuuAQgkRkmby' -Name 's').s | ForEach-Object {$_[-1..-($_.Length)]}))); [b.b]::b('sfMDuuAQgkRkmby')

HKEY_CURRENT_USER\Software\sfMDuuAQgkRkmby\
donn
segment{1-29} = {Reversed PE Binary Substring}

其他信息

该木马程序会添加以下注册表键值：

HKEY_CURRENT_USER\Software\sfMDuuAQgkRkmby

HKEY_CURRENT_USER\Software\sfMDuuAQgkRkmby\
donn

It adds the following scheduled tasks:

Location: {Root Directory}
Name: sfMDuuAQgkRkmby
Trigger: One time at 12:00 AM on 8/16/2024 → After triggered, repeat every 00:01:00 indefinitely.
Action: Start a program → %Application Data%\sfMDuuAQgkRkmby.vbs

(Note: %Application Data% 是当前用户的 Application Data 文件夹，通常路径为：C:\Documents and Settings\{user name}\Application Data 在Windows 2000（32位）、XP及Server 2003（32位）系统上，或 C:\Users\{user name}\AppData\Roaming 在Windows Vista、7、8、8.1、2008（64位）、2012（64位）及10（64位）系统上。）

解决方案

最小扫描引擎: 9.800

First VSAPI Pattern File: 20.114.05

VSAPI 第一样式发布日期: 2025年3月31日

VSAPI OPR样式版本: 20.115.00

VSAPI OPR样式发布日期: 2025年4月1日

Step 1

在进行任何扫描之前，Windows 7、Windows 8、Windows 8.1 和 Windows 10 用户必须先执行以下操作：禁用 系统还原 以便对电脑进行全面扫描。

Step 2

注意：在此恶意软件/间谍软件/灰色软件执行期间，并非所有文件、文件夹和注册表键值和项都会安装到您的计算机上。这可能是由于不完整的安装或其他操作系统条件所致。如果您没有找到相同的文件/文件夹/注册表信息，请继续进行下一步操作。

Step 3

以安全模式重启

[ 更多 ]

请按以下步骤操作=

要进入安全模式重启：

• For Windows 7 and Windows Server 2008 (R2) users

重启你的电脑。
按下F8 在开机自检（POST）程序完成后。如果 高级启动选项 若未出现菜单，请尝试重启计算机，并在POST界面显示后多次按F8键。
在高级启动选项菜单中，使用方向键选择Safe Mode 选项，然后按 Enter.

• For Windows 8, Windows 8.1, and Windows Server 2012 users

访问Charms bar 将鼠标指针移至屏幕右上角即可。
将鼠标指针向下移动并点击 Settings>更改您的电脑设置.
在左侧面板中，点击“通用”。
在右侧面板中，向下滚动至底部找到 Advanced startup 部分，然后点击 Restart now 按钮并等待系统重启。
在Advanced Startup 菜单中，点击 Troubleshoot>Advanced Options>Startup Settings>Restart 并等待系统重启。
在Startup Settings 菜单中，按下 4 以启用安全模式。

• 对于 Windows 10 用户：

按下Windows logo key + I 键打开“设置”。若无效，请选择 Start按钮，然后选择Settings.
选择Update & Security > Recovery.
在Advanced startup, select Restart now.
当您的电脑重启进入 请选择一个选项 屏幕上，选择Troubleshoot > Advcanced options > 启动设置 > Restart.
电脑重启后，您将看到一系列选项。请选择4 或按 F4 以安全模式启动您的电脑。

Step 4

删除计划任务 while in Safe Mode

Still in safe mode, the following {Task Name}-{Task to be run} 列出的内容应在以下步骤中使用：
- {Task Name} → sfMDuuAQgkRkmby
- {Task to be run} → %Application Data%\sfMDuuAQgkRkmby.vbs
对于 Windows 7 和 Server 2008 (R2) 用户：点击Start>Computer.
- 对于Windows 8、8.1、10及Server 2012用户, 右键单击屏幕左下角，然后点击 File Explorer.
在搜索计算机/此电脑输入框中，键入：
- %System%\Tasks\{Task Name}
定位到该文件后，选中并按 SHIFT+DELETE 将其删除。
打开注册表编辑器。为此，请执行以下操作:
- 对于 Windows 7 和 Server 2008 (R2) 用户：点击开始按钮，在搜索输入框中键入regedit，然后按Enter键。
- 对于 Windows 8、8.1、10 及 Server 2012 (R2) 用户，请右键单击屏幕左下角，点击 Run, type regedit in the text box
在注册表编辑器窗口的左侧面板中，双击以下项目：
- HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows NT>CurrentVersion>Schedule>TaskCache>Tree>{Task Name}
Locate the created entry and take note of the registry value's data:
- ID={Task Data}
After taking note of the data, delete the registry key:
- HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows NT>CurrentVersion>Schedule>TaskCache>Tree>{Task Name}
在注册表编辑器窗口的左侧面板中，双击以下项目：
- HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows NT>CurrentVersion>Schedule>TaskCache>Tasks
仍在左侧面板中，定位并删除与已定位任务数据同名的注册表项。 in step #6:
- ={Task Data}
关闭注册表编辑器。

Step 5

删除此注册表值

[ 更多 ]

Important: 编辑 Windows Registry 操作不当可能导致系统出现无法恢复的故障。请务必仅在您熟悉相关步骤的情况下执行；如有疑问，可寻求系统管理员的协助。否则，请查看下方链接。 Microsoft article 修改计算机注册表前请务必先进行此操作.

In HKEY_CURRENT_USER\Software\sfMDuuAQgkRkmby
- Path = sfMDuuAQgkRkmby
In HKEY_CURRENT_USER\Software\sfMDuuAQgkRkmby
- in = 1
In HKEY_CURRENT_USER\Software\sfMDuuAQgkRkmby
- i = RegAsm.exe
In HKEY_CURRENT_USER\Software\sfMDuuAQgkRkmby
- cn = Stop-Process -Name conhost -Force
In HKEY_CURRENT_USER\Software\sfMDuuAQgkRkmby
- v = {[}AppDomain{]}::CurrentDomain.Load{(}[Convert{]}::FromBase64String{(}{(}-join {(}Get-ItemProperty -LiteralPath 'HKEY_CURRENT_USER:\Software\sfMDuuAQgkRkmby' -Name 's'{)}.s | ForEach-Object {{}$_{[}-1..-{(}$_.Length{)}{]}{}}{)}{)}{)}; {[}b.b{]}::b{(}'sfMDuuAQgkRkmby'{)}
In HKEY_CURRENT_USER\Software\sfMDuuAQgkRkmby
- r = {Reversed PE Binary String}
In HKEY_CURRENT_USER\Software\sfMDuuAQgkRkmby
- s = {Reversed Base64 String}
In HKEY_CURRENT_USER\Software\sfMDuuAQgkRkmby
- instant = powershell.exe -ExecutionPolicy Bypass -windowstyle hidden -noexit -Command [AppDomain]::CurrentDomain.Load([Convert]::FromBase64String((-join (Get-ItemProperty -LiteralPath 'HKEY_CURRENT_USER:\Software\sfMDuuAQgkRkmby' -Name 's').s | ForEach-Object {$_[-1..-($_.Length)]}))); [b.b]::b('sfMDuuAQgkRkmby')
In HKEY_CURRENT_USER\Software\sfMDuuAQgkRkmby\donn
- segment{1-29} = {Reversed PE Binary Substring}

请按以下步骤操作=

要删除此恶意软件创建的注册表值：

打开注册表编辑器。为此，请执行以下操作:
» 对于 Windows 7 和 Windows Server 2008 (R2) 用户，请点击 Start button, type regedit in the Search输入字段，然后按下Enter.
» 对于 Windows 8、Windows 8.1、10 及 Windows Server 2012 (R2) 用户，请右键单击屏幕左下角，点击 Run, type regedit 在提供的文本框中，然后点击 Enter.
在注册表编辑器窗口的左侧面板中，双击以下项目：
HKEY_CURRENT_USER>Software>sfMDuuAQgkRkmby
在右侧面板中，找到并删除以下条目：
Path = sfMDuuAQgkRkmby
Again 在右侧面板中，找到并删除以下条目：
in = 1
Again 在右侧面板中，找到并删除以下条目：
i = RegAsm.exe
Again 在右侧面板中，找到并删除以下条目：
cn = Stop-Process -Name conhost -Force
Again 在右侧面板中，找到并删除以下条目：
v = {[}AppDomain{]}::CurrentDomain.Load{(}[Convert{]}::FromBase64String{(}{(}-join {(}Get-ItemProperty -LiteralPath 'HKEY_CURRENT_USER:>Software>sfMDuuAQgkRkmby' -Name 's'{)}.s | ForEach-Object {{}$_{[}-1..-{(}$_.Length{)}{]}{}}{)}{)}{)}; {[}b.b{]}::b{(}'sfMDuuAQgkRkmby'{)}
Again 在右侧面板中，找到并删除以下条目：
s = {Reversed Base64 String}
Again 在右侧面板中，找到并删除以下条目：
instant = powershell.exe -ExecutionPolicy Bypass -windowstyle hidden -noexit -Command [AppDomain]::CurrentDomain.Load([Convert]::FromBase64String((-join (Get-ItemProperty -LiteralPath 'HKEY_CURRENT_USER:>Software>sfMDuuAQgkRkmby' -Name 's').s | ForEach-Object {$_[-1..-($_.Length)]}))); [b.b]::b('sfMDuuAQgkRkmby')
在注册表编辑器窗口的左侧面板中，双击以下项目：
HKEY_CURRENT_USER>Software>sfMDuuAQgkRkmby>donn
在右侧面板中，找到并删除以下条目：
segment{1-29} = {Reversed PE Binary Substring}
关闭注册表编辑器。

Step 6

删除此注册表项

[ 更多 ]

In HKEY_CURRENT_USER\Software\sfMDuuAQgkRkmby
- donn
In HKEY_CURRENT_USER\Software
- sfMDuuAQgkRkmby

请按以下步骤操作=

要删除此恶意软件/灰色软件创建的注册表项：

打开注册表编辑器。为此，请执行以下操作:
» 对于 Windows 7 和 Server 2008 (R2) 用户，请点击 Start button, type regedit in the Search输入字段，然后按下Enter.
» 对于 Windows 8、8.1、10 及 Server 2012 (R2) 用户，请右键单击屏幕左下角，点击 Run, type regedit 在提供的文本框中，然后点击 Enter.
在注册表编辑器窗口的左侧面板中，双击以下项目：
HKEY_CURRENT_USER>Software>sfMDuuAQgkRkmby
仍在左侧面板中，找到并删除以下注册表项：
donn
在注册表编辑器窗口的左侧面板中，双击以下项目：
HKEY_CURRENT_USER>Software
仍在左侧面板中，找到并删除以下注册表项：
sfMDuuAQgkRkmby
关闭注册表编辑器。

Step 7

搜索并删除这些文件

[ 更多 ]

某些文件可能被隐藏，请务必勾选 搜索隐藏的文件和文件夹 勾选框 "更多进阶选项" 选项，以在搜索结果中包含所有隐藏的文件和文件夹。

%User Temp%\Client.vbe
%Application Data%\sfMDuuAQgkRkmby.vbs

请按以下步骤操作=

要删除恶意软件/灰色软件文件：

适用于 Windows 7、Server 2008 (R2)、8、8.1、10 及 Server 2012 (R2) 系统：

打开 Windows 资源管理器窗口。
- 对于 Windows 7 和 Server 2008 (R2) 用户：点击Start>Computer.
- 对于Windows 8、8.1、10及Server 2012用户, 右键单击屏幕左下角，然后点击 File Explorer.
在搜索计算机/此电脑输入框中，键入：
%User Temp%\Client.vbe
%Application Data%\sfMDuuAQgkRkmby.vbs
定位到该文件后，选中并按 SHIFT+DELETE 将其删除。
对所有列出的文件重复上述步骤。
*Note:阅读以下微软官方页面若上述步骤在 Windows 7 和 Server 2008 (R2) 系统上无效：

Step 8

以正常模式重启计算机，并使用亚信安全产品扫描检测病毒Trojan.W97M.FRS.VSNW1FC25. 如果检测到的文件已被亚信安全产品清理、删除或隔离，则无需执行其他操作。您可以选择直接删除隔离文件。请勾选此项知识库页面了解更多信息。