Worm.Win32.BLASQUI.A

2019年6月3日

分析者: Jay Bradley Nebre

Trojan.Win32.Vimditator.acfp(Kaspersky)

平台:

Windows

总体风险等级:

潜在破坏:

潜在分布:

感染次数:

信息暴露:

恶意软件类型:
Worm
有破坏性？:
没有
加密？:
In the Wild:
是的

技术详细信息

文件大小: 6,192,640 bytes

报告日期: EXE

内存驻留: 是的

初始樣本接收日期: 2019年5月27日

Payload: 连接到 URL/Ip, 修改系统注册表

安装

它植入下列文件：

%ProgramData%\qkooy.exe - detected as Coinminer.Win64.TOOLXMR.AS
{Malware Path}\WebServer\Blacksquid.txt - copy of itself
{Malware Path}\WebServer\hta.hta - contains html and powershell code to download a copy of itself
%ProgramData%\S.exe - encrypted file that was renamed to %ProgramData%\445.exe after decryption
%ProgramData%\445.exe - detected as TROJ_EQUATED.J. This is used for EternalBlue and DoublePulsar exploit
C:\important\important.exe - copy of itself

它添加下列进程：

%ProgramData%\qkooy.exe -o stratum+tcp://{BLOCKED}e.{BLOCKED}l.com:80 -u 44f3Gk4zcTvR4e8PTaYEEpJfhj8FpvnxbHADmAiiQFLeMTAzvN1Xavn3VHHNP8n4ob3WJ77KbzcQaCgGYSofCwpSQQkCW9G -p x --max-cpu-usage=25 -K
C:\147159.exe

它添加下列互斥条目，确保一次只会运行一个副本：

wfcwfwwxwcvrbedbew

自启动技术

它添加下列注册表项，在系统每次启动时自行执行：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
NVIDIA GeForce Experience = {malware path}\{malware name}.exe

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
NVIDIA GeForce Experience = {malware path}\{malware name}.exe

其他系统修改

它添加下列注册表项：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\BlacksquidXmr
CPUming = {data from VersionUpdate}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\BlacksquidXmr
Update = Updated

解决方案

最小扫描引擎: 9.850

First VSAPI Pattern File: 15.136.04

VSAPI 第一样式发布日期: 2019年5月27日

VSAPI OPR样式版本: 15.137.00

VSAPI OPR样式发布日期: 2019年5月28日

Step 1

对于Windows ME和XP用户，在扫描前，请确认已禁用系统还原功能，才可全面扫描计算机。

Step 3

确定和终止Worm.Win32.BLASQUI.A检测到的文件

[ 更多 ]

对于Windows 98和ME用户，Windows任务管理器可能不显示所有运行进程。在此情况下，请使用第三方进程查看程序（推荐Process Explorer）终止恶意软件/灰色软件/间谍软件文件。您可以从处下载上述工具。
如果检测到的文件出现在Windows任务管理器或Process Explorer中但不能删除，请重启计算机进入安全模式。请参阅该链接了解完整步骤。
如果检测到的文件未在Windows任务管理器或Process Explorer中出现，请继续下列步骤。

Step 4

删除该注册表值

[ 更多 ]

注意事项：错误编辑Windows注册表会导致不可挽回的系统故障。只有在您掌握后或在系统管理员的帮助下才能完成这步。或者，请先阅读Microsoft文章，然后再修改计算机注册表。

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- NVIDIA GeForce Experience = {malware path}\{malware name}.exe
In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- NVIDIA GeForce Experience = {malware path}\{malware name}.exe

Step 5

删除该注册表键值

[ 更多 ]

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\BlacksquidXmr
- CPUming = {data from VersionUpdate}
In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\BlacksquidXmr
- Update = Updated

Step 7

搜索和删除该文件

[ 更多 ]

有些组件文件可能是隐藏的。请确认在高级选项中已选中搜索隐藏文件和文件夹复选框，使查找结果包括所有隐藏文件和文件夹。

%ProgramData%\qkooy.exe
{Malware Path}\WebServer\Blacksquid.txt
{Malware Path}\WebServer\hta.hta
%ProgramData%\S.exe
%ProgramData%\445.exe
C:\important\important.exe

Step 8

使用亚信安全产品扫描计算机，并删除检测到的Worm.Win32.BLASQUI.A文件如果检测到的文件已被亚信安全产品清除、删除或隔离，则无需采取进一步措施。可以选择直接删除隔离的文件。请参阅知识库页面了解详细信息。