Trojan.Win64.VALLEYRAT.THHBGBD
UDS:Trojan.Win32.Shella.hd (KASPERSKY)
Windows
恶意软件类型:
Trojan
有破坏性?:
没有
加密?:
In the Wild:
是的
概要
该木马通过两种途径进入系统:一是被其他恶意软件作为文件释放到系统中,二是用户访问恶意网站时在不知情的情况下下载的文件。
技术详细信息
Arrival Details
该木马通过两种途径进入系统:一是被其他恶意软件作为文件释放到系统中,二是用户访问恶意网站时在不知情的情况下下载的文件。
Installation
该木马会添加以下进程:
- Invoke-Command -Command {Add-MpPreference -ExclusionPath {Root drive of the malware path}
它会添加以下互斥量,以确保在任何时候只有一个副本在运行:
- TEST
Autostart Technique
This Trojan drops the following file(s) 在 Windows 用户启动文件夹中,以实现每次系统启动时自动运行:
- %User Startup%\CompMgmtLauncher.lnk
- %User Startup%\eventvwr.lnk
(Note: %User Startup%是当前用户的启动文件夹, 通常位于此路径C:\Windows\Profiles\{user name}\Start Menu\Programs\Startup on Windows 98 and ME, C:\WINNT\Profiles\{user name}\Start Menu\Programs\Startup on Windows NT, C:\Documents and Settings\{User name}\Start Menu\Programs\Startup on Windows 2003(32-bit), XP and 2000(32-bit), or C:\Users\{user name}\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup on Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit), 10(64-bit).)
它会添加以下注册表项,以实现每次启动Office应用程序时自动执行恶意文件:
HKEY_CURRENT_USER\Console
SelfPath = {Malware File Path}
其他系统修改
该木马程序会修改以下注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\
kingsoft\antivirus\Windhunter
WindhunterLevel = 4
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\
kingsoft\antivirus\Windhunter
WindhunterSwitch = 0
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\
kingsoft\antivirus\KSetting
kxesc = 0
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\
kingsoft\antivirus\KAVReport
AutoStart = 0
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\
Tencent\QQPCMgr
autostart = 0
它会删除以下注册表项:
HKEY_CURRENT_USER\Console\IpDate
HKEY_CURRENT_USER\Software\Classes\
mscfile
HKEY_CURRENT_USER\Software\Classes\
ms-settings
HKEY_CURRENT_USER\Software\Classes\
.pwn
进程终止
若在受感染系统的内存中发现以下进程正在运行,该木马会将其终止:
- 360Sd.exe
- 360leakfixer.exe
- safesvr.exe
- MultiTip.exe
- 360Tray.exe
- 360tray.exe
- 360Safe.exe
- 360safe.exe
- ZhuDongFangYu.exe
- kscan.exe
- kwsprotect64.exe
- kxescore.exe
- kxetray.exe
- HipsMain.exe
- HipsTray.exe
- QMDL.exe
- QMPersonalCenter.exe
- QQPCPatch.exe
- QQPCRealTimeSpeedup.exe
- QQPCRTP.exe
- QQPCTray.exe
其他信息
This Trojan connects to the following URL(s) to check for an Internet connection:
- http://www.{BLOCKED}u.com
它会执行以下操作:
- 进程终止后,它会再次检查以下进程是否仍在系统中运行:
- kxetray.exe
- 360sd.exe
- 360Tray.exe
- 360tray.exe
- 360Safe.exe
- 360safe.exe
- QQPCTray.exe
- MsMpEng.exe
- HipsTray.exe
- 若任何这些进程仍在运行,则会执行以下操作:
- 向正在运行的lsass进程中注入shellcode。
- 若在受感染系统中发现以下进程正在运行,则会终止它们:
- 360Sd.exe
- 360tray.exe
- 360Safe.exe
- 360safe.exe
- HipsMain.exe
- HipsTray.exe
- QMDL.exe
- QQPCTray.exe
- QQPCRTP.exe
- 若发现其列表中的以下进程仍在系统中运行,恶意软件进程将显示“错误”消息框并终止。
- 它会检查以下文件是否存在:
- %User Profile%\wwlib.dll
- %User Profile%\WinWord.exe
- 它会检查以下与常用通信应用程序相关的注册表项:
- HKEY_CURRENT_USER\Software\Tencent\Wechat
- HKEY_CURRENT_USER\Software\Dingtalk
- 它从主加载器存储的注册表项中获取C2服务器的URL:
- HKEY_CURRENT_USER\Console IpDateInfo
- 成功获取信息后,它将连接以下URL:
It adds the following scheduled tasks:
- Name: CompMgmtLauncher
- 触发器:任何用户登录时
- 操作:启动程序 - %System%\eventvwr.msc
(Note: %System% 是Windows系统文件夹,通常位于此路径 C:\Windows\System32 适用于所有Windows操作系统版本。)
解决方案
Step 1
亚信安全测性机器学习可在恶意软件初现时、尚未在系统执行前便及时检测并拦截。启用此功能后,您的亚信安全产品会使用以下机器学习命名标识检测该恶意软件:
- Troj.Win32.TRX.XXPE50FFF083
Step 2
在进行任何扫描之前,Windows 7、Windows 8、Windows 8.1 和 Windows 10 用户必须先执行以下操作: 禁用 系统还原 以便对电脑进行全面扫描。
Step 3
注意:在此恶意软件/间谍软件/灰色软件执行期间,并非所有文件、文件夹和注册表键值和项都会安装到您的计算机上。这可能是由于不完整的安装或其他操作系统条件所致。如果您没有找到相同的文件/文件夹/注册表信息,请继续进行下一步操作。
Step 4
以安全模式重启
要进入安全模式重启:
• For Windows 7 and Windows Server 2008 (R2) users
- 重启你的电脑。
- 按下F8 在开机自检(POST)程序完成后。如果 高级启动选项 若未出现菜单,请尝试重启计算机,并在POST界面显示后多次按F8键。
- 在高级启动选项菜单中,使用方向键选择Safe Mode 选项,然后按 Enter.
• For Windows 8, Windows 8.1, and Windows Server 2012 users
- 访问Charms bar 将鼠标指针移至屏幕右上角即可。
- 将鼠标指针向下移动并点击 Settings>更改您的电脑设置.
- 在左侧面板中,点击“通用”。
- 在右侧面板中,向下滚动至底部找到 Advanced startup 部分,然后点击 Restart now 按钮并等待系统重启。
- 在Advanced Startup 菜单中,点击 Troubleshoot>Advanced Options>Startup Settings>Restart 并等待系统重启。
- 在Startup Settings 菜单中,按下 4 以启用安全模式。
• 对于 Windows 10 用户:
- 按下Windows logo key + I 键打开“设置”。若无效,请选择 Start按钮,然后选择Settings.
- 选择Update & Security > Recovery.
- 在Advanced startup, select Restart now.
- 当您的电脑重启进入 请选择一个选项 屏幕上,选择Troubleshoot > Advcanced options > 启动设置 > Restart.
- 电脑重启后,您将看到一系列选项。请选择4 或按 F4 以安全模式启动您的电脑。
Step 5
删除此注册表项
Important: 编辑 Windows Registry 操作不当可能导致系统出现无法恢复的故障。请务必仅在您熟悉相关步骤的情况下执行;如有疑问,可寻求系统管理员的协助。否则,请查看下方链接。 Microsoft article 修改计算机注册表前请务必先进行此操作.
- In HKEY_CURRENT_USER\Console\IpDate
要删除此恶意软件/灰色软件创建的注册表项:
- 打开注册表编辑器。
» 对于 Windows 7 和 Windows Server 2008 (R2) 用户,请点击 Start button, type regedit in the Search输入字段,然后按下Enter.
» 对于 Windows 8、Windows 8.1、Windows 10 和 Windows Server 2012 (R2) 用户,请右键点击屏幕左下角,点击Run, type regedit 在提供的文本框中,然后点击 Enter. HKEY_CURRENT_USER>Console>IpDate - 关闭注册表编辑器。
Step 6
删除此注册表值
Important: 编辑 Windows Registry 操作不当可能导致系统出现无法恢复的故障。请务必仅在您熟悉相关步骤的情况下执行;如有疑问,可寻求系统管理员的协助。否则,请查看下方链接。 Microsoft article 修改计算机注册表前请务必先进行此操作.
- In HKEY_CURRENT_USER\Console
- SelfPath = {Malware File Path}
- SelfPath = {Malware File Path}
要删除该恶意/灰色软件创建的注册表值,请执行以下操作:
- 打开注册表编辑器。
» 对于 Windows 7 和 Windows Server 2008 (R2) 用户,请点击 Start button, type regedit in the Search输入字段,然后按下Enter.
» 对于 Windows 8、Windows 8.1、Windows 10 和 Windows Server 2012 (R2) 用户,请右键点击 屏幕左下角,点击Run, type regedit 在提供的文本框中,然后点击 Enter. - 在左侧面板中,双击以下项目:
HKEY_CURRENT_USER>Console - 在右侧面板中,找到并删除以下条目:
SelfPath = {Malware File Path} - 关闭注册表编辑器。
Step 7
恢复这些被修改的注册表值
Important:Editing the Windows Registry 操作不当可能导致不可逆的系统故障。请仅在掌握操作技能时执行,或向系统管理员寻求帮助。's help. You may also check out this Microsoft article 修改计算机注册表前请务必先进行此操作.
- In HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\kingsoft\antivirus\Windhunter
- WindhunterLevel = 4
- WindhunterLevel = 4
- In HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\kingsoft\antivirus\Windhunter
- WindhunterSwitch = 0
- WindhunterSwitch = 0
- In HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\kingsoft\antivirus\KSetting
- kxesc = 0
- kxesc = 0
- In HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\kingsoft\antivirus\KAVReport
- AutoStart = 0
- AutoStart = 0
- In HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Tencent\QQPCMgr
- autostart = 0
- autostart = 0
To restore registry values this malware/grayware modified:
- Open Registry Editor. 为此,请执行以下操作:
- On Windows 7 and Server 2008 (R2):
点击Start button, type REGEDIT in the Search输入字段,然后按下Enter. - On Windows 8, 8.1, 10, and Server 2012 (R2):
右键点击屏幕左下角并单击 Run, type REGEDIT in the Run input field, and then press Enter.
- On Windows 7 and Server 2008 (R2):
- 在左侧面板中,双击以下项目:
HKEY_LOCAL_MACHINE>SOFTWARE>WOW6432Node>kingsoft>antivirus>Windhunter - 在右侧面板中,找到注册表值:
WindhunterLevel = 4 - Again 在右侧面板中,找到注册表值:
WindhunterSwitch = 0 - 在左侧面板中,双击以下项目:
HKEY_LOCAL_MACHINE>SOFTWARE>WOW6432Node>kingsoft>antivirus>KSetting - 在右侧面板中,找到注册表值:
kxesc = 0 - 在左侧面板中,双击以下项目:
HKEY_LOCAL_MACHINE>SOFTWARE>WOW6432Node>kingsoft>antivirus>KAVReport - 在右侧面板中,找到注册表值:
AutoStart = 0 - 在左侧面板中,双击以下项目:
HKEY_LOCAL_MACHINE>SOFTWARE>WOW6432Node>Tencent>QQPCMgr - 在右侧面板中,找到注册表值:
autostart = 0 - 关闭注册表编辑器。
Step 8
搜索并删除这些文件
- %User Startup%\CompMgmtLauncher.lnk
- %User Startup%\eventvwr.lnk
要删除恶意软件/灰色软件文件:
适用于 Windows 7、Server 2008 (R2)、8、8.1、10 及 Server 2012 (R2) 系统:
- 打开 Windows 资源管理器窗口。
- 对于 Windows 7 和 Server 2008 (R2) 用户:点击Start>Computer.
- 对于Windows 8、8.1、10及Server 2012用户, 右键单击屏幕左下角,然后点击 File Explorer.
- 在搜索计算机/此电脑输入框中,键入:
- %User Startup%\CompMgmtLauncher.lnk
- %User Startup%\eventvwr.lnk
- 定位到该文件后,选中并按 SHIFT+DELETE 将其删除。
- 对所有列出的文件重复上述步骤。
*Note:阅读以下微软官方页面 若上述步骤在 Windows 7 和 Server 2008 (R2) 系统上无效:
Step 9
以正常模式重启计算机,并使用亚信安全产品扫描检测病毒Trojan.Win64.VALLEYRAT.THHBGBD. 如果检测到的文件已被亚信安全产品清理、删除或隔离,则无需执行其他操作。您可以选择直接删除隔离文件。请勾选此项知识库页面 了解更多信息。