持续更新一下不能放纵这些害群之马【IIS7病毒传播平台】

哥斯拉 · 发表于 2024-1-4 14:35:43

马上注册，免费下载更多dz插件网资源。

您需要登录才可以下载或查看，没有账号？立即注册

×

这个软件利用了一系列的技术来隐藏其恶意行为、维持持久性、执行远程控制操作，并逃避安全软件的检测。
持续更新一下不能放纵这些害群之马【IIS7病毒传播平台】 it618,西瓜,点微,可可

以下是对软件行为的详细分析和专业描述：
伪装与用户界面欺骗:
软件在启动时展示一个正常的窗口界面，用以迷惑用户，掩盖其真实目的。
持久性机制:
在运行过程中，软件将自身添加到系统的启动项中，确保每次系统启动时自动执行。
持续更新一下不能放纵这些害群之马【IIS7病毒传播平台】 it618,西瓜,点微,可可

代码注入与远程控制:
通过注入到 explorer.exe 进程（Windows 文件管理器）来隐藏其活动并获得更高的系统权限。
使用了可能是 winos 3.0 这类远程控制软件的技术，用于远程操作受感染的计算机。
网络通信:
与远程服务器（IP地址：8.210.234.19, 端口：2404 和 8.212.45.140:8490）通信，后者作为HTTP服务器用于数据传输或命令控制。
持续更新一下不能放纵这些害群之马【IIS7病毒传播平台】 it618,西瓜,点微,可可

本地文件操作和按键记录:
在 C:\Users\Administrator\AppData\Roaming\localdemoQnr 目录下写入文件，这可能是用来记录用户按键或其他敏感信息。
持续更新一下不能放纵这些害群之马【IIS7病毒传播平台】 it618,西瓜,点微,可可

反沙箱技术和异常处理:
使用特定的技术来检测和逃避沙箱环境（用于安全分析的隔离环境）。
通过分配内存并设置异常处理程序，使得在触发异常时执行shellcode。
Shellcode 加密与杀软进程检测:
对Shellcode（即用于执行恶意操作的代码）进行XOR加密，以逃避安全软件的检测。
检测并可能关闭安全软件进程，以减少被检测到的风险。
DLL劫持和内存操作:
通过劫持 SoftwareUpdate.exe 并在加载 SoftwareUpdateFiles.dll 时修改内存属性为可执行。
DllMain 函数在 SoftwareUpdateFiles.dll 被加载时被触发，此时进行内存属性修改并执行shellcode。
总体来说，这个恶意软件显示出了高度的复杂性和隐蔽性，使用了多种技术来维持其运行、控制受感染的系统、并逃避安全软件的检测。
持续更新一下不能放纵这些害群之马【IIS7病毒传播平台】 it618,西瓜,点微,可可

这种软件通常需要专业的安全工具和专家来检测和清除。

解决方式是结束所有的explorer，并删除启动项所在位置的文件，删除注册表启动项，删除原有文件

©DZ插件网所发布的一切资源仅限用于学习和研究目的；不得将上述内容用于商业或者非法用途，否则，一切后果请用户自负。
网站部分内容来源于网络，版权争议与本站无关。您必须在下载后的24个小时之内，从您的电脑中彻底删除上述内容。如果您喜欢该程序，请支持正版软件，得到更好的正版服务。
您在本站任何的赞助购买、下载、查阅、回复等行为等均表示接受并同意签订《DZ插件网免责声明协议》。
如有侵权请邮件与我们联系处理: discuzaddons@vip.qq.com 并出示相关证明以便删除。敬请谅解！