你可能在防毒軟體或 VirusTotal 上看到像 Trojan.Banker.Qbot.aom 這樣的偵測名稱,搜尋一下又跳出 Qbot / QakBot / Pinkslipbot 等別名。這篇文章用白話方式帶你認識它的本質、近年的發展、以及最重要的—— 如果只是「下載到 .exe」但沒有執行,電腦會不會被感染? 文內也提供 Windows 的快速檢查與清除步驟,適合一般使用者照表操作。
目錄
1)Qbot/QakBot 是什麼?為何常見「Trojan.Banker.Qbot.*」
Qbot/QakBot 是歷史悠久的銀行木馬/資訊竊取器,同時也扮演「載入器(loader)」:一旦入侵成功,攻擊者可再植入後續惡意程式(例如勒索軟體)。 不同廠商的偵測命名各異,像「Trojan.Banker.Qbot.*」「Backdoor.Qbot」「Trojan:Win32/Qbot」等都指涉同一家族。你看到的 .aom,通常是某家廠商內部用來區分變種的尾碼;也常見到其他尾碼(例如 ...Qbot.aiex 之類)。
小提醒:命名差異不代表「不是同一個威脅」。只要家族吻合(Qbot/QakBot),防護思路與處置流程可視為一致。
2023 年 8 月 29 日,美歐執法單位曾對 QakBot 基礎設施發動「Operation Duck Hunt」大規模破壞;
但在 2024 年起,業界仍看到其關聯活動或相近投放鏈的再現(例如與 DarkGate、PikaBot 等載具互補),顯示攻擊生態並未因一次行動而完全終止。
2)只下載 EXE、沒執行,會不會中毒?(重點結論)
一般情況下:不會。 在 Windows 上,單純把惡意 .exe 檔案存到磁碟,並不會自動執行;沒有被啟動(雙擊、命令列執行、被其他程式呼叫),就不會進入感染流程。
這也是數位鑑識常識:程式被執行時,系統通常會在 C:\Windows\Prefetch 產生對應的 .pf 記錄,可作為是否啟動過的間接線索。
- 瀏覽器或解壓軟體的「下載後自動開啟」:若你開啟了 ZIP 內的腳本、捷徑或啟動器,仍等同於執行。
- 不是單純 EXE:攻擊常用 Office/OneNote 巨集、JS/VBS/HTA 腳本、或 PDF+壓縮檔組合社工誘騙你啟動。
- 網站入侵的「免點擊」投遞(Drive-by):雖然較少直接落地 EXE 並自動執行,但瀏覽器外掛或漏洞仍有風險。
結論:只下載、沒開啟通常安全,但請「立刻刪除該檔並全機掃描」。
3)常見投放手法:為什麼你會下載到它?
- 釣魚郵件/假回覆執行鏈:偽裝成既有郵件往來,附上壓縮檔或雲端連結,誘使你開啟內含腳本或安裝器。
- OneNote/Office 巨集:文件內嵌按鈕或圖片,引導你「啟用內容」,實際觸發下載+執行。
- 網站下載頁偽裝:下載到看似更新程式或解碼器,實為載入器。
- 合成投放鏈:Qbot 本身也常作為「下一階段」的搬運工具,後續才丟進勒索軟體(如 Black Basta 族群)。
4)快速自查:6 個立即行動
- 不要開啟、直接刪除檔案:移到資源回收桶並清空;或用 Shift+Delete 直接刪除。
- 執行 Windows Defender 全機掃描(系統管理員開啟 PowerShell/CMD):
"%ProgramFiles%\Windows Defender\MpCmdRun.exe" -Scan -ScanType 2
- 加掃「下載」資料夾(加快保險):
"%ProgramFiles%\Windows Defender\MpCmdRun.exe" -Scan -ScanType 3 -File "C:\Users\你的帳號\Downloads"
- 確認是否曾被執行(Prefetch 線索;有檔更可疑):
dir C:\Windows\Prefetch\*可疑檔名*.pf
- 計算雜湊再刪(留存證據以便日後比對):
certutil -hashfile "C:\Users\你的帳號\Downloads\可疑檔.exe" SHA256
- 觀察幾天的帳號與金流:開啟雙重驗證(MFA),重要密碼做一次更換。
5)進階:若不小心執行了,Qbot 常見跡象與檢查指令
家族差異很多,但實務上常見:以使用者常駐(Run 登錄機碼/排程工作)+副本落地於 AppData,並對 explorer.exe 等程序注入來隱蔽。
- Run 登錄檔位:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\<隨機名稱> - 落地位置常見:
C:\Users\你的帳號\AppData\Roaming\Microsoft\<隨機資料夾>\ - 可能建立排程工作以確保重開機後持續存活。
快速檢查指令:
reg query HKCU\Software\Microsoft\Windows\CurrentVersion\Run schtasks /query /fo LIST /v | findstr /i "qbot qakbot update run" dir "%AppData%\Microsoft" /a
- 先離線(拔網路),備份重要檔案。
- 以乾淨媒體重灌或使用「系統重設」最乾脆;企業端建議交由 IT/IR 團隊。
- 確認 AD 帳號、VPN 憑證、瀏覽器密碼庫與郵件已換密碼且啟用 MFA。
6)帳號與金流安全:需要做哪些補救?
- 金融帳戶:檢視近 30 天交易,異常立即通報。
- 電子郵件與雲端:開啟 MFA,檢查登入活動、撤銷可疑的應用程式授權。
- 瀏覽器密碼庫:視情況將重要網站密碼全面更新。
- 遠端桌面與 VPN:更換密碼與金鑰,檢查近期連線紀錄。
7)FAQ:常見迷思一次釐清
Q1:看到「Trojan.Banker.Qbot.aom」就一定中毒嗎?
不一定。那是偵測名稱,代表檔案「看起來像」Qbot 家族樣本。若只是下載、未執行,通常尚未產生實際感染;但仍建議刪除並做完整掃描。
Q2:只要把檔案刪了就沒事?
大多數情況是,但前提是「真的沒被執行過」。建議用 Prefetch 線索與全機掃描雙重確認,並在數日內留意帳號安全。
Q3:為什麼我刪檔時防毒也跳警示?
很多防毒採「存取即掃描」,當你觸碰檔案(含刪除)時就會再掃一次並通報,屬於正常保護行為。
Q4:我什麼都沒按,會不會自動中?
一般從瀏覽器下載 EXE 不會自動執行;但是若網站或外掛被入侵,仍有「免點擊」投遞風險。務必更新系統與瀏覽器、移除不必要外掛。
Q5:企業該注意什麼?
Email 保護(阻擋惡意附件/URL)、巨集限制、應用程式白名單、EDR 監控與備份演練,是面對此類載具最有效的組合拳。
8)延伸閱讀與參考資料(外部連結)
- 美國司法部:2023-08-29 QakBot 拆解行動(Operation Duck Hunt)
- FBI:多國合作拆解 QakBot 基礎設施
- Cisco Talos:拆解後仍見關聯團伙活動觀察
- Zscaler:QakBot 15 年演進(更新至 2024 年初)
- Kaspersky Securelist:QBot 以商務往來為誘餌的投放鏈
- Microsoft Defender 威脅百科:Trojan:Win32/Qbot
- Magnet Forensics:Windows Prefetch 應用程式執行痕跡
- TrustedSec:Prefetch 的鑑識價值
- Emsisoft:Drive-by 下載風險解說
- Red Canary:Qbot 威脅頁面(行為與替代載具)
- 美國司法部:2025 年 Qakbot 主嫌起訴與追繳
最後再強調一次:只下載、未執行 的 EXE 一般不會造成實際感染,但你仍應養成三件事:立刻刪除、全機掃描、短期留意帳號金流。若曾經執行或跡象不明,就用上文的指令自查;企業環境請交由 IT/IR 進一步處理,避免衍生成本更高的橫向移動與勒索事件。