TrojanSpy.MSIL.REDLINESTEALER.YXBDN
a variant of MSIL/Kryptik.AAHN trojan(NOD32); PWS-FCXD!F291EAD13EAD(NAI)
Windows
恶意软件类型:
Trojan Spy
有破坏性?:
没有
加密?:
是的
In the Wild:
是的
概要
N它以其他恶意软件释放的文件或用户访问恶意网站时不知不觉下载的文件的形式到达系统。
它执行远程恶意用户的命令,有效地攻击受感染的系统。 它连接到网站,发送和接收信息。
技术详细信息
新病毒详细信息
It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.
安装
它添加下列进程:
- {Malware Directory}\{Malware Filename}
它向下列进程中注入代码:
- {Malware Directory}\{Malware Filename}
后门例程
它执行远程恶意用户的下列命令:
- Download - downloads a file to specified path
- DownloadAndEx - downloads a file to specified path then execute it
- OpenLink - opens a specific link in the browser
- Cmd - execute commands via cmd
它连接到下列网站,发送和接收信息:
- {BLOCKED}ri.xyz:80
信息窃取
它收集下列数据:
- Gathers the following system info:
- Username
- Hardware ID
- Keyboard Layout
- Screenshot
- Screen Resolution
- Operating System
- UAC Settings
- Is Admin
- GPU Information
- CPU Information
- Memory (RAM)
- Installed Antiviruses
- IP Address
- Country
- City
- ZipCode
- System Language
- System Timezone
- Installed Programs
- Running Processes
- Gathers Info from:
- Browsers:
- Chrome Based Browsers
- Gecko Based Browsers (e.g. Firefox)
- FTP Clients:
- FileZilla
- Messaging Applications:
- Telegram
- VPN:
- NordVPN
- OpenVPN
- ProtonVPN
- Wallets:
- Armory
- Atomic
- Coinomi
- Electrum
- Ethereum
- Exodus
- Guarda
- Jaxx
- Metamask
- Monero
- Tron
- Others
- Others:
- Steam
- Discord
- Browsers:
其他详细信息
该程序执行以下操作:
- Shows fake error message:
- MesageBox Title: System Error
- MessageBox Content: "The code execution cannot proceed because MSVCP140.dll was not found"
解决方案
Step 2
对于Windows ME和XP用户,在扫描前,请确认已禁用系统还原功能,才可全面扫描计算机。
Step 3
请注意,在执行此恶意软件/间谍软件/灰色软件期间,并非所有文件、文件夹、注册表项和条目都安装在您的计算机上。这可能是由于安装不完整或其他操作系统条件造成的。如果找不到相同的文件/文件夹/注册表信息,请继续下一步。
Step 4
重启进入安全模式
Step 5
确定和终止TrojanSpy.MSIL.REDLINESTEALER.YXBDN检测到的文件
Step 6
重启进入正常模式,使用亚信安全产品扫描计算机,检测TrojanSpy.MSIL.REDLINESTEALER.YXBDN文件 如果检测到的文件已被亚信安全产品清除、删除或隔离,则无需采取进一步措施。可以选择直接删除隔离的文件。请参阅知识库页面了解详细信息。