1,问题叙述 近期,EDR安全性精英团队相信捕捉了装扮成激话手机软件Windows Loader的病毒样本。历经剖析,样版沒有激话作用,其关键作用是安裝广告软件和发掘程序流程。 发掘程序流程将起动系统进程并将发掘编码引入在其中,并循环系统监控taskmgr.exe系统进程。假如检验到taskmgr.exe系统进程,则将停止发掘,使受害人更无法检验。
2,个人行为剖析 2.2 病毒感染孕妈 病毒感染父标志装扮成Windows Loader:
事实上,这是1个应用CreateInstall建立的安装文件:
安裝页面:
将下列文档公布到C: \ Program Files(x86)\ KMSPico 10.2.1最后文件目录并运作脚本制作WINLOADER_SETUP.BAT。
WINLOADER_SETUP.BAT按序运作WindowsLoader.exe,Registry_Activation_2751393056.exe和activation.exe。
WindowsLoader.exe和Registry_Activation_2751393056.exe全是广告软件,activation.exe是1个发掘程序流程。 3.2 WindowsLoader.exe 第一位是WindowsLoader.exe。能够看得出,病毒感染编写者显而易见是摄影师发烧友,他不容易忘掉将他喜爱的艺术照片插进到综艺节目的資源中。 WindowsLoader.exe安裝页面:
将下载并安装RunBooster:
装RunBooster服务项目:
RunBoosterUpdateTask升級任务计划:
RunBooster的数据文件捕捉个人行为:
2.2 Registry_Activation_2751393056.exe Registry_Activation_2751393056.exe安裝页面:
该作用存在的问题。免费下载的exe文档沒有尾缀名字:
2.6 activation.exe 最先在Local文件目录中建立1个新的cypjMERAky文件夹名称,随后在下边自主拷贝。
加上注册表自启动项。
查验taskmgr.exe系统进程是不是存有。
假如taskmgr.exe系统进程找不到,请应用主要参数“-a cryptonight -o stratum + tcp: //xmr.pool.minergate.com: 45560 -u minepool@gmx.com - 起动系统进程wuapp.exe - px -t 2“。 照片304-1024x529.png 将发掘程序流程引入wuapp.exe系统进程。
开采程序流程是开源系统的cpuminer-multi 1.3-dev。
进到循环系统,维护注册表自启动项,并检验taskmgr.exe系统进程,并在检验到时停止wuapp.exe。
3,解决方法 (1)不必从不明网址下载应用,不必点一下来路不明的电子邮箱和附注; (2)立即修复电子计算机以修复漏洞; (3)试着关掉多余的文件共享管理权限并关掉多余的端口号,如:445,145,139,3389等; (4)安裝技术专业的终端设备/服务器安全维护手机软件,确信EDR能合理消灭病毒感染。