PureRAT 是一個複雜的 遠程訪問木馬(RAT) 透過網路釣魚活動秘密滲透 Windows 系統。它使攻擊者能夠完全控制受感染的設備,從而實現即時監控、資料竊取和系統操控。本文深入探討 PureRAT 的本質、功能和操作策略,幫助有安全意識的讀者掌握這項威脅。
威脅概述
| 獨特之處 | 信息 |
|---|---|
| 威脅類型 | 遠程訪問木馬(RAT) |
| 檢測名稱 | Avast:Win32:MalwareX-gen [Cryp];Combo Cleaner:Gen:Variant.Jalapeno.18072;ESET-NOD32:MSIL/Kryptik.ANPO;卡巴斯基:HEUR:Backdoor.MSIL.Crysan.gen;微軟:Backdoor:MSIL/Crysan.APPMT.Brysan.AP |
| 症狀 | 設計隱密-無明顯的使用者介面;未經授權的網路流量、資源使用率升高、隱藏進程 |
| 損害與分佈 | 資料竊取(密碼、銀行資訊、加密錢包)、身分暴露、殭屍網路參與、DDoS 攻擊能力;透過釣魚郵件、連結到雲端託管 ZIP 的惡意 PDF 附件進行傳播 |
| 危險等級 | 高階-模組化、規避性強,能夠深度入侵系統 |
| 拆卸工具 | SpyHunter — 惡意軟體清除: 下載 SpyHunter |
詳細威脅評估
我是怎麼被感染的?
攻擊者透過發送嵌入雲端文件儲存連結的 PDF 檔案來冒充受信任的聯絡人。這些 PDF 檔案會導致包含惡意 .pdf.exe 文件和 DLL 文件,通常偽裝成稅務或許可證文件。一旦打開,攻擊者就會透過 Ghost Crypt 的隱密 DLL 側載來部署 PureRAT,Ghost Crypt 使用一種名為「進程催眠」的技術將 RAT 注入合法進程。
它有什麼作用呢?
一旦激活,PureRAT 就會執行多種惡意功能:
- 收集瀏覽器歷史記錄、擴充功能、加密錢包資料(Atomic Wallet、Exodus、Ledger Live)、Telegram、Steam 和 Outlook
- 記錄擊鍵和螢幕截圖
- 劫持網路攝影機和麥克風
- 支援檔案管理、登錄編輯、網路設定、啟動控制、DDoS、clipper注入、遠端命令執行
攻擊者可以完全控制遠端桌面,重新啟動或關閉系統,操縱防毒設置,並透過 RAT 介面啟動即時聊天。
為什麼危險?
PureRAT 將監控、靜默資料外洩和遠端控制功能集於一身。它透過 Ghost Crypt 等強大的加密程式進行傳播,這些加密程式能夠規避現代防毒解決方案,即使在 Windows 11 24H2 等已全面修補的系統上也能輕鬆應對。它在定向網路釣魚活動中的使用正在迅速增加,使其成為當前最強大的威脅之一。
你應該擔心嗎?
是的。 PureRAT 構成嚴重威脅,尤其對處理敏感資訊、加密貨幣或企業資產的使用者而言。其隱密的攻擊手段,加上對受感染系統的廣泛控制,使其成為高風險網路風險。及早發現並立即採取行動對於減輕其影響至關重要。
技術深度探究:攻擊鏈
- 初次感染:透過雲端連結透過 PDF 進行社會工程學 → ZIP
.pdf.exe和加密的 DLL - DLL 側載入器:合法應用程式(例如,
hpreader.exe) 載入重新命名為合法的惡意 DLL - 催眠注射過程:使用 Windows 偵錯 API 將有效載荷注入
csc.exe,繞過標準安全監控 - 持久性和滲透:DLL 複製到使用者目錄;新增註冊表 Run 項目;啟動加密的命令和控制連線並等待攻擊者命令
手動木馬惡意軟體移除指南
第 1 步:啟動進入安全模式
- 重啟你的電腦。
- 在 Windows 啟動之前,按 F8 鍵(或 SHIFT + F8 在某些系統上)。
- 選擇 帶網絡連接的安全模式 從進階啟動選項選單。
- 媒體中心 進入 啟動。
這可以防止木馬運行,並使其更容易被刪除。
第 2 步:識別並停止惡意進程
- 媒體中心 按Ctrl + Shift + Esc鍵 打開 Task Manager.
- 前往 流程 標籤(或 信息 在 Windows 10/11 中)。
- 尋找使用高 CPU 或記憶體或具有陌生名稱的可疑進程。
- 右鍵單擊可疑進程並選擇 打開文件所在位置.
- 如果檔案位於臨時資料夾或系統資料夾中並且看起來不熟悉,則很可能是惡意的。
- 右鍵單擊該進程並選擇 結束任務.
- 在檔案總管中刪除關聯檔案。
步驟 3:刪除與木馬相關的檔案和資料夾
- 媒體中心 WIN + R,輸入 %TEMP%,然後按 進入.
- 刪除 Temp 資料夾中的所有檔案。
- 也請檢查以下目錄中是否存在不熟悉或最近建立的檔案:
- C:\Users\你的使用者\AppData\Local\Temp
- C:\ WINDOWS \ TEMP
- C:\ Program Files文件(x86)
- C:\ ProgramData
- C:\使用者\你的使用者\AppData\Roaming
- 刪除可疑檔案或資料夾。
步驟 4:從登錄中清除木馬惡意軟體
- 媒體中心 WIN + R,輸入 註冊表編輯器,然後按 進入.
- 導航至以下路徑:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunHKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- 尋找從可疑位置啟動文件的條目。
- 右鍵單擊並刪除任何您不認識的條目。
警告: 如果操作不當,編輯註冊表可能會損害您的系統。請謹慎行事。
步驟 5:重設瀏覽器設定
Google Chrome
- 造訪 設定 > 重置設定.
- 點擊 將設置恢復為原始默認值 並確認。
Mozilla Firefox瀏覽器
- 造訪 幫助 > 更多故障排除訊息.
- 點擊 刷新Firefox.
微軟邊緣
- 造訪 設定 > 重置設定.
- 點擊 將設置恢復為其默認值.
步驟 6:執行完整的 Windows Defender 掃描
- 未結案工單 Windows安全 通過 設置>更新和安全性.
- 點擊 病毒和威脅防護.
- 選擇 掃描選項, 選擇 全掃描,然後點擊 現在掃描.
步驟 7:更新 Windows 和已安裝的軟體
- 媒體中心 贏+我,去 更新和安全 > Windows 更新.
- 點擊 檢查更新 並安裝所有可用的更新。
使用 SpyHunter 自動刪除木馬
如果手動刪除木馬似乎很困難或耗時,請使用 間諜獵手 是推薦的方法。 SpyHunter 是一種先進的反惡意軟體工具,可有效檢測並消除木馬感染。
第 1 步:下載 SpyHunter
使用以下官方鏈接下載 SpyHunter: 下載 SpyHunter
有關如何安裝的完整說明,請關注此頁面:官方 SpyHunter 下載說明
步驟2:安裝SpyHunter
- 找到 SpyHunter 安裝程序 下載資料夾中的檔案。
- 雙擊安裝程式開始安裝。
- 按照屏幕上的提示完成安裝。
第 3 步:掃描您的系統
- 打開間諜獵人。
- 點擊 立即開始掃描.
- 讓程式偵測所有威脅,包括特洛伊木馬組件。
步驟 4:刪除偵測到的惡意軟體
- 掃描完成後,點選 修復威脅.
- SpyHunter 將自動隔離並刪除所有已識別的惡意元件。
步驟 5:重新啟動計算機
重新啟動系統以確保所有變更生效且威脅已完全消除。
預防未來木馬感染的技巧
- 避免下載盜版軟體或開啟未知的電子郵件附件。
- 僅造訪可信賴的網站,避免點擊可疑的廣告或彈出視窗。
- 使用 SpyHunter 等即時防毒解決方案進行持續保護。
- 保持您的作業系統、瀏覽器和軟體為最新版本。
結語
PureRAT 並非一款基礎版 RAT。它利用隱密感染技術、加密輔助投遞和模組化功能,能夠深度入侵受感染系統。個人和組織應將此威脅視為嚴重威脅。如果懷疑感染,請使用 SpyHunter 等專用惡意軟體清除工具清除 RAT 並恢復系統安全。
