这个软件利用了一系列的技术来隐藏其恶意行为、维持持久性、执行远程控制操作，并逃避安全软件的检测。

以下是对软件行为的详细分析和专业描述：
伪装与用户界面欺骗:
软件在启动时展示一个正常的窗口界面，用以迷惑用户，掩盖其真实目的。
持久性机制:
在运行过程中，软件将自身添加到系统的启动项中，确保每次系统启动时自动执行。

代码注入与远程控制:
通过注入到 explorer.exe 进程（Windows 文件管理器）来隐藏其活动并获得更高的系统权限。
使用了可能是 winos 3.0 这类远程控制软件的技术，用于远程操作受感染的计算机。
网络通信:
与远程服务器（IP地址：8.210.234.19, 端口：2404 和 8.212.45.140:8490）通信，后者作为HTTP服务器用于数据传输或命令控制。

本地文件操作和按键记录:
在 C:\Users\Administrator\AppData\Roaming\localdemoQnr 目录下写入文件，这可能是用来记录用户按键或其他敏感信息。

反沙箱技术和异常处理:
使用特定的技术来检测和逃避沙箱环境（用于安全分析的隔离环境）。
通过分配内存并设置异常处理程序，使得在触发异常时执行shellcode。
Shellcode 加密与杀软进程检测:
对Shellcode（即用于执行恶意操作的代码）进行XOR加密，以逃避安全软件的检测。
检测并可能关闭安全软件进程，以减少被检测到的风险。
DLL劫持和内存操作:
通过劫持 SoftwareUpdate.exe 并在加载 SoftwareUpdateFiles.dll 时修改内存属性为可执行。
DllMain 函数在 SoftwareUpdateFiles.dll 被加载时被触发，此时进行内存属性修改并执行shellcode。
总体来说，这个恶意软件显示出了高度的复杂性和隐蔽性，使用了多种技术来维持其运行、控制受感染的系统、并逃避安全软件的检测。


这种软件通常需要专业的安全工具和专家来检测和清除。

解决方式是结束所有的explorer，并删除启动项所在位置的文件，删除注册表启动项，删除原有文件