警告: Efimer Trojan 会悄悄攻击您的加密货币钱包,并通过虚假的法律声明、种子诈骗和受感染的 WordPress 网站进行传播。
Efimer Trojan 是一种隐秘的恶意软件,它会劫持您的剪贴板,窃取以太坊、比特币、门罗币和其他钱包凭证,并通过欺骗性网络钓鱼和受感染的网站进行传播。
威胁摘要
| 威胁类型 | 木马/Clip‑Banker/植入程序 |
|---|---|
| 检测名称 | Avast(Script:SNH-gen [Trj])、Combo Cleaner(Trojan.GenericS.5863)、ESET-NOD32(JS/Agent.SWE)、卡巴斯基(Trojan-Dropper.Win32.Agentb.qx)、微软(Trojan:Win32/Wacatac.B!ml) |
| 症状 | 无明显症状;在后台静默运行。 |
| 损害与分布 | 剪贴板劫持以重定向加密、窃取种子短语、凭证、基于屏幕截图的间谍活动;通过网络钓鱼电子邮件、恶意种子、受感染的 WordPress 网站传播。 |
| 危险等级 | 高——可以耗尽加密钱包、侵犯隐私并构建恶意软件基础设施。 |
| SpyHunter 链接 | https://www.enigmasoftware.com/products/spyhunter/?ref=ywuxmtf |
Efimer 木马病毒如何在系统上安装
Efimer 经常伪装成看似紧急的法律通知。受害者可能会收到一封声称域名侵权的钓鱼邮件,通常带有一个受密码保护的 ZIP 附件(例如“Requirement.wsf”),伪装成法律文件。
或者,从受感染的 WordPress 网站下载“电影”可能会捆绑一个假媒体播放器(XMPEG 格式),打开后实际上会安装木马。
执行后:
- 如果运行 管理员权限,Efimer 将自己排除在 Windows Defender 之外,并通过计划任务设置持久性。
- 如果在没有权限的情况下运行,它会将自身添加到 Windows 注册表中以实现自动启动。
- 在这两种情况下,该木马都会安装 Tor 代理,以便与其命令和控制 (C2) 服务器进行加密通信。
Efimer 木马试图窃取哪些数据
Efimer 会监控您的剪贴板中是否有任何复制的加密货币钱包地址(比特币、以太坊、门罗币、Tron、Solana 等),并将其替换为模仿原始地址的攻击者控制的地址。
它还会查找剪贴板助记符(种子短语)和:
- 将它们保存到 种子 文件,
- 截取您的屏幕截图以捕获敏感内容,
- 通过 Tor 将所有这些数据泄露到攻击者的服务器。
Efimer 还可以充当进一步恶意行为的加载器,包括暴力破解 WordPress 网站、收集电子邮件地址以及分发自身或垃圾邮件以扩大其影响范围。
Efimer 木马使用的持久性策略
Efimer 嵌入很深。
- 计划任务 (如果以管理员身份运行)或 注册表运行键 (如果以普通用户身份运行)确保它在启动时仍然存在。
- 它安装 Tor客户 (例如,
ntdlg.exe) 来掩盖其通信并绕过检测。 - 其模块化特性允许攻击者 发送远程命令 (通过 Tor/C2),例如执行新脚本、泄露数据,甚至使用“KILL”命令进行自我删除。
手动删除 Efimer木马病毒 (适合高级用户)
第 1 步:进入带网络的安全模式
由于信息窃取程序在活动期间可能会抵抗删除,因此启动到安全模式有助于禁止其执行。
- Windows 10 / 11:
- 媒体中心 WIN + R,类型 MSCONFIG,并击中 输入.
- 去 开机 选项卡并检查 安全启动 → 网络.
- 点击 应用→确定 并重新启动您的电脑。
- Windows 7 / 8:
- 重新启动电脑并继续按 F8 在 Windows 加载之前。
- 从我们的数据库中通过 UL Prospector 平台选择 带网络连接的安全模式 并按下 输入.
步骤2:在任务管理器中结束恶意进程
- 媒体中心 按Ctrl + Shift + Esc键 打开 Task Manager.
- 查找可疑进程(例如, 随机名称、高 CPU 使用率或未知应用程序).
- 右键单击它们并选择 结束任务.
常见的信息窃取程序进程名称包括 StealC.exe、RedLine.exe、Vidar.exe 或通用系统名称。
步骤 3:卸载可疑程序
- 媒体中心 WIN + R,类型 APPWIZ.CPL,并击中 输入.
- 寻找具备 未知或最近安装的可疑软件.
- 右键单击可疑条目并选择 卸载.
步骤 4:删除恶意文件和注册表项
信息窃取者留下 隐藏文件和注册表项 以确保持久性。
- 可选 档案总管 并导航至:
C:\Users\YourUser\AppData\LocalC:\Users\YourUser\AppData\RoamingC:\ProgramDataC:\Windows\Temp
- 可选 注册表编辑器:
- 媒体中心 WIN + R,类型 注册表编辑器,然后按 输入.
- 导航到:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
- 寻找具备 随机或可疑的注册表项 (例如,
StealerLoader,Malware123). - 右键单击并删除 任何恶意条目。
步骤5:清除浏览器数据并重置DNS
由于信息窃取者的目标是 浏览器,您需要清除存储的凭证。
清除浏览数据
- 可选 Chrome、Edge 或 Firefox.
- 在MyCAD中点击 软件更新 设置 → 隐私和安全 → 清除浏览数据.
- 从我们的数据库中通过 UL Prospector 平台选择 密码、Cookie 和缓存文件 并点击 清除数据.
重设DNS
- 可选 命令以管理员身份提示.
- 键入以下命令,然后按 输入 每个之后:bashCopyEdit
ipconfig /flushdns ipconfig /release ipconfig /renew - 重启你的电脑。
步骤 6:扫描 Rootkit
即使手动删除后,一些信息窃取者仍可能隐藏为 的rootkit.
- 下载 恶意软件反Rootkit or Microsoft Safety Scanner.
- 跑一个 深层扫描 并消除任何检测到的威胁。
步骤 7:更改所有密码并启用 MFA
由于信息窃取者提取凭证, 立即更新密码 为:
- 电子邮件帐户
- 银行和金融网站
- 社交媒体
- 加密货币钱包
- 商业和工作登录
启用 双因素认证(2FA) 以防止未经授权的访问。
方法2:自动删除 Efimer木马病毒 使用 SpyHunter(推荐)
(对于想要快速、 无忧 解决方案)
SpyHunter 是一个专业的 反恶意软件工具 能够检测并移除 信息窃取程序、木马、键盘记录程序和间谍软件.
步骤1:下载SpyHunter
第 2 步:安装并启动 SpyHunter
- 找到 SpyHunter 安装程序 档案在 资料下载 文件夹中。
- 双击开始安装。
- 按照屏幕上的说明,安装后启动 SpyHunter。
步骤 3:执行完整系统扫描
- 点击 “开始扫描” 分析您的系统。
- SpyHunter 将检测任何 信息窃取程序、木马或键盘记录程序.
- 点击 “去掉” 删除所有检测到的威胁。
步骤 4:启用实时保护
- 在MyCAD中点击 软件更新 个人设置 并启用 实时恶意软件防护 以防止将来的感染。
预防技巧:如何防范信息窃取者
- 避免使用破解的软件和种子 – 它们是主要的感染源。
- 使用强而独特的密码 – 利用 密码管理器.
- 启用两因素身份验证 (2FA) – 降低被盗凭证被滥用的风险。
- 保持软件和操作系统更新 – 补丁修复安全漏洞。
- 警惕网络钓鱼电子邮件 – 不要打开来自未知发件人的附件。
- 使用防病毒或反恶意软件工具 – 一个好的工具 SpyHunter 有助于检测和消除威胁。
结语
Efimer 木马病毒是一种严重的威胁,能够窃取大量加密货币、窃取敏感数据、入侵其他系统,并通过钓鱼网站和受感染网站进行传播。它非常复杂、隐秘且危险。
