backdoor.njrat.
什么是njrat?
Backdoor.njrat是一个远程访问特洛伊木马(RAT)应用程序,可能在后台运行,并默默地收集有关系统,连接用户和网络活动的信息。backdoor.njrat可能会尝试窃取存储的凭据,用户名和密码以及其他个人和机密信息。该信息可以发送到作者指定的目的地。Backdoor.njrat可能允许攻击者将额外的软件安装到受感染的机器,或者可以指导受感染的机器参与恶意僵尸网络,以便发送垃圾邮件或其他恶意活动。
如何删除后门.NJRAT特洛伊木马
Backdoor.njrat可能在后台静默地运行,可能无法向用户提供任何感染的指示。backdoor.njrat还可以禁用防病毒程序和其他Microsoft Windows安全功能。
backdoor.njrat远程访问木马类型
Backdoor.njrat可以使用各种方法分发。该软件可以用免费的在线软件包装,或者可以伪装成无害的程序并通过电子邮件分发。或者,该软件可以使用软件漏洞的网站安装。以这种方式发生的感染通常是沉默的,而没有用户知识或同意。
如何防止反德门.NJRAT远程访问木马
必威平台APPMalwareBytes保护用户免受Backdoor.njrat的安装
必威平台APPMalwarebytes检测和删除Backdoor.njrat
如何检测和移除后门.NJRAT感染
必威平台APP没有进一步的用户互动,Malwarebytes可以检测和删除许多后门.NJRAT感染。
- 请下载malware必威平台APPbytes.到你的桌面。
- 双击mbsetup.exe.并按照提示安装程序。
- 当你的必威平台APPWindows的Malwarebytes.安装完成后,该程序打开了欢迎来到Malwarebytes屏幕。必威平台APP
- 点击一下开始按钮。
- 点击扫描开始A.威胁扫描。
- 点击隔离删除找到的威胁。
- 如果出现提示完成删除过程,重新启动系统。
必威平台APPMalwarebytes删除日志
删除必威平台APP的Malwarebytes日志将类似于此图片:
必威平台APP
www.必威平台APPmalwarebytes.com.
-log详情 -
扫描日期:3/22/18
扫描时间:下午11:09
日志文件:586ae303-2e58-11e8-9116-00ffc8517b86.json
管理员:是的
-software信息 -
版本:3.4.4.2398
组件版本:1.0.322
更新包版本:1.0.4454
许可证:保费
- 系统信息 -
OS:Windows 7 Service Pack 1
CPU:X64
文件系统:NTFS
用户:de-win7 \ fwiplayer
-Scan摘要 -
扫描类型:威胁扫描
结果:完成
对象扫描:297736
检测到的威胁:12
威胁隔离:0
(没有检测到恶意物品)
时间经过时间:2分钟,46秒
-scan选项 -
内存:启用
启动:启用
文件系统:启用
档案:启用
rootkits:禁用
启发式:启用
小狗:检测
PUM:检测
-Scan详情 -
过程:2
Trojan.Agent.e.Generic,C:\ Users \ fwiplayer \ appdata \ local \ temp \ server.exe,User [1031],[372422],1.0.4454
backdoor.njrat,c:\ users \ fwiplayer \ desktop \ njrat v0.7d \ njrat v0.7d.exe,User [51]没有操作[51],[298876],1.0.4454
模块:3
Trojan.Agent.e.Generic,C:\ Users \ fwiplayer \ appdata \ local \ temp \ server.exe,User [1031],[372422],1.0.4454
backdoor.njrat,c:\ users \ fwiplayer \ desktop \ njrat v0.7d \ njrat v0.7d.exe,User [51]没有操作[51],[298876],1.0.4454
backdoor.bladabindi,c:\ users \ fwiplayer \ desktop \ njrat v0.7d \ winmm.net.dll,Unt Und用户没有动作,[75],[151857],1.0.4454
注册表项:0
(没有检测到恶意物品)
注册表价值:2
Trojan.Agent.e.Generic,HKLM \ Software \ Wow6432Node \ Microsoft \ Windows \ CurrentVersion \ Run | 279F6960ED84A752570ACA7FB2DC1552,用户无动作[1031],[372422],1.0.4454
Trojan.Agent.e.Generic,HKU \ S-1-5-21-2165681608-375680608-3756637219-621560608-3756637219-621560601-1000 \ Software \ Microsoft \ Windows \ CurrentVersion \ Run | 279F6960ED84A752570CA7FB2DC1552,Use Use,No Action [1031],[372422],[372422],1.0.4454
注册表数据:0
(没有检测到恶意物品)
数据流:0
(没有检测到恶意物品)
文件夹:1
backdoor.agent,c:\ windows \ syswow64 \ spynet,用户没有动作,[85],[181094],1.0.4454
文件:4
backdoor.agent,c:\ windows \ syswow64 \ spynet \ server.exe,User [85]没有操作[85],[251509],1.0.4454
Trojan.Agent.e.Generic,C:\ Users \ fwiplayer \ appdata \ local \ temp \ server.exe,User [1031],[372422],1.0.4454
backdoor.njrat,c:\ users \ fwiplayer \ desktop \ njrat v0.7d \ njrat v0.7d.exe,User [51]没有操作[51],[298876],1.0.4454
backdoor.bladabindi,c:\ users \ fwiplayer \ desktop \ njrat v0.7d \ winmm.net.dll,Unt Und用户没有动作,[75],[151857],1.0.4454
物理部门:0
(没有检测到恶意物品)
(结尾)
追踪/ IOC
您可以在FRST日志中看到这些条目:
2018-03-22 22:58 - 2018-03-22 22:58 - 000024064 _____()\ appdata \ local \ temp \ server.exe
hklm-x32 \ ... \运行:[279f6960ed84a752570aca7fb2dc1552] => \ appdata \ local \ temp \ server.exe .. [24064 2018-03-22]()<====注意
HKU \ S-1-5-21-2165681608-3755637219-621560608-375681608-3755637219-62156637219-621560601-1000 \ ... \ run:[279f6960d84a752570ca7a752570ca7fb2dc1552] => \ appdata \ local \ temp \ server.exe .. [24064 2018-03-22]()<====注意
lexistataStableS:C:\ ProgramData \ Temp:8927A071 [219]
关联文件:
njrat.exe,server.exe.
