分析者: Joselyn Canuela   
 平台:

Windows

 总体风险等级:
 潜在破坏:
 潜在分布:
 感染次数:
 信息暴露:

  • 恶意软件类型:
    Trojan Spy

  • 有破坏性?:
    没有

  • 加密?:
    没有

  • In the Wild:
    是的

  概要

感染途徑: 从互联网上下载,或由其他恶意软件释放。

它然后执行已下载的文件。结果,已下载文件的恶意例程将呈现在受感染的系统中。 但截至本文截稿时为止,上述网站均不可访问。

  技术详细信息

文件大小: 209,408 bytes
报告日期: EXE
内存驻留: 是的
初始樣本接收日期: 2017年8月17日
Payload: 连接到 URL/Ip, 下载文件

安装

它植入和执行下列文件:

  • %AppDataLocal%\Microsoft\Windows\{string 1}{string 2}.exe - drops the file here if it has no admin privileges, also detected as TSPY_EMOTET.AUSJKW
  • %System%\{string 1}{string 2}.exe - drops the file here if it has admin privileges, also detected as TSPY_EMOTET.AUSJKW

    where {string 1} and {string 2} is a combination of any of the following strings:
    • agent
    • app
    • audio
    • bio
    • bits
    • cache
    • card
    • cart
    • cert
    • com
    • crypt
    • dcom
    • defrag
    • device
    • dhcp
    • dns
    • event
    • evt
    • flt
    • gdi
    • group
    • help
    • home
    • host
    • info
    • iso
    • launch
    • log
    • logon
    • lookup
    • man
    • math
    • mgmt
    • msi
    • ncb
    • net
    • nv
    • nvidia
    • proc
    • prop
    • prov
    • provider
    • reg
    • rpc
    • screen
    • search
    • sec
    • server
    • service
    • shed
    • shedule
    • spec
    • srv
    • storage
    • svc
    • sys
    • system
    • task
    • time
    • video
    • view
    • win
    • window
    • wlan
    • wmi

(注意: %System% 是 Windows 的 system 文件夹,通常位于 C:\Windows\System (Windows 98 和 ME)、C:\WINNT\System32 (Windows NT 和 2000) 和 C:\WINDOWS\system32 (Windows XP 和 Server 2003)。)

它添加下列互斥条目,确保一次只会运行一个副本:

  • M{hash of full file path}
  • Global\M{volume serial number}

自启动技术

它通过添加下列注册表项,注册为系统服务,确保在每次系统启动时自动执行:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
services\{string 1}{string 2}
ImagePath = %System%\{string 1}{string 2}.exe
where {string 1} and {string 2} is the same name as the drop file

它添加下列注册表项,在系统每次启动时自行执行:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{string 1}{string 2} = "%AppDataLocal%\Microsoft\Windows\{string 1}{string 2}.exe

下载例程

它然后执行已下载的文件。结果,已下载文件的恶意例程将呈现在受感染的系统中。

但截至本文截稿时为止,上述网站均不可访问。

  解决方案

最小扫描引擎: 9.850
First VSAPI Pattern File: 13.600.03
VSAPI 第一样式发布日期: 2017年8月17日
VSAPI OPR样式版本: 13.601.00
VSAPI OPR样式发布日期: 2017年8月18日

Step 1

对于Windows ME和XP用户,在扫描前,请确认已禁用系统还原功能,才可全面扫描计算机。

Step 3

重启进入安全模式,然后删除该注册表键值

[ 更多 ]

注意事项:错误编辑Windows注册表会导致不可挽回的系统故障。只有在您掌握后或在系统管理员的帮助下才能完成这步。或者,请先阅读Microsoft文章,然后再修改计算机注册表。

  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services
    • {string 1}{string 2}

Step 4

删除该注册表值

[ 更多 ]

注意事项:错误编辑Windows注册表会导致不可挽回的系统故障。只有在您掌握后或在系统管理员的帮助下才能完成这步。或者,请先阅读Microsoft文章,然后再修改计算机注册表。

 
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  • {string 1}{string 2} = "%AppDataLocal%\Microsoft\Windows\{string 1}{string 2}.exe

Step 5

重启进入正常模式,使用亚信安全产品扫描计算机,检测TSPY_EMOTET.AUSJKW文件 如果检测到的文件已被亚信安全产品清除、删除或隔离,则无需采取进一步措施。可以选择直接删除隔离的文件。请参阅知识库页面了解详细信息。