分析者: Leidryn Saludez   
 平台:

Windows

 总体风险等级:
 潜在破坏:
 潜在分布:
 感染次数:
 信息暴露:

  • 恶意软件类型:
    Trojan Spy

  • 有破坏性?:
    没有

  • 加密?:
     

  • In the Wild:
    是的

  概要

感染途徑: 从互联网下载、由其他恶意软件释放

该木马间谍程序通过两种途径进入系统:一是被其他恶意软件作为文件释放到系统中,二是用户访问恶意网站时在不知情的情况下下载的文件。

  技术详细信息

文件大小: 17,877 bytes
报告日期: PY
初始樣本接收日期: 2024年10月9日
Payload: 删除文件、释放文件 窃取信息

Arrival Details

该木马间谍程序通过两种途径进入系统:一是被其他恶意软件作为文件释放到系统中,二是用户访问恶意网站时在不知情的情况下下载的文件。

Installation

该间谍木马会释放以下文件:

  • %User Temp%\{8 Random characters} → Deleted Afterwards

(Note: %User Temp% 是当前用户的临时文件夹,通常位于此路径 C:\Documents and Settings\{user name}\Local Settings\Temp 在Windows 2000(32位)、XP及Server 2003(32位)系统上,或 C:\Users\{user name}\AppData\Local\Temp 在Windows Vista、7、8、8.1、2008(64位)、2012(64位)及10(64位)系统上。)

其他系统修改

该间谍木马会删除以下文件夹:

  • %User Temp%\pip-ephem-wheel-cache-{8 Random characters}
  • %User Temp%\pip-install-_{7 Random characters}
  • %User Temp%\pip-req-tracker-{8 Random characters}

(Note: %User Temp% 是当前用户的临时文件夹,通常位于此路径 C:\Documents and Settings\{user name}\Local Settings\Temp 在Windows 2000(32位)、XP及Server 2003(32位)系统上,或 C:\Users\{user name}\AppData\Local\Temp 在Windows Vista、7、8、8.1、2008(64位)、2012(64位)及10(64位)系统上。)

Information Theft

该木马间谍程序会收集以下数据:

  • 它从以下浏览器中获取凭据:
    • Chrome
    • Opera
    • Brave
    • Yandex

  解决方案

最小扫描引擎: 9.800
First VSAPI Pattern File: 19.642.02
VSAPI 第一样式发布日期: 2024年10月10日
VSAPI OPR样式版本: 19.643.00
VSAPI OPR样式发布日期: 2024年10月11日

Step 1

在进行任何扫描之前,Windows 7、Windows 8、Windows 8.1 和 Windows 10 用户必须先执行以下操作: 禁用 系统还原 以便对电脑进行全面扫描。

Step 2

使用您的亚信安全产品扫描电脑,删除被检测为以下名称的文件 TrojanSpy.Python.BEAVERTAIL.THJAOBD. 若亚信安全产品已将检测到的文件清除、删除或隔离,则无需再执行任何额外步骤;您也可选择直接删除隔离区中的文件。更多信息请访问以下亚信安全支持页面: