中文字幕乱倫视频,成人片免费网站,精品国产三级a在线观看,欧美日韩精品一区二区三区无码

在此，火絨工程師提醒大家時刻注意群聊中發(fā)送的陌生文件，如有必要先使用安全軟件掃描后在使用。火絨安全產(chǎn)品可對上述病毒進行攔截查殺，請用戶及時更新病毒庫以進行防御。

病毒的執(zhí)行流程

由于殺毒軟件 Zemana 的反病毒驅(qū)動啟動時，會根據(jù)注冊表項 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ZAM_BootCleaner\DeleteServices 中的值

來刪除對應(yīng)的驅(qū)動注冊表項，黑客利用這一特性，在病毒啟動后向該注冊表位置中寫入其他殺毒軟件的驅(qū)動注冊項名，來刪除其他殺毒軟件的驅(qū)動注冊項，如下圖所示：

驅(qū)動列表

釋放并加載ZAM殺軟驅(qū)動，相關(guān)代碼，如下圖所示：

釋放驅(qū)動并加載

之后再利用該驅(qū)動的接口來終止其他殺毒軟件進程，相關(guān)代碼，如下所示：

終止其他進程相關(guān)代碼

通過鏡像劫持功能，禁止殺毒軟件進程啟動，火絨劍監(jiān)控到的行為，如下圖所示：

火絨劍監(jiān)控到的行為

等禁用殺毒軟件之后，會從C&C服務(wù)器獲取對應(yīng)的配置文件，根據(jù)配置文件下載 Loader 模塊，相關(guān)代碼，如下所示：

獲取配置信息

根據(jù)配置信息下載 Loader 模塊 CMO03.exe 到 C:\Users\YourUserName\AppData\Roaming\Microsoft\Windows

\StartMenu\Programs\Startup\ 目錄下并執(zhí)行，火絨劍監(jiān)控到的行為，如下圖所示：

火絨劍監(jiān)控到的行為

該模塊從資源中解密，并執(zhí)行 shellcode1，相關(guān)代碼，如下圖所示：

解密執(zhí)行 shellcode1

在 shellcode1 中會從 C&C 服務(wù)器接收、執(zhí)行 shellcode2，相關(guān)代碼，如下圖所示：

接收、執(zhí)行 shellcode2

在 shellcode2 中會內(nèi)存加載后門模塊，相關(guān)代碼，如下圖所示：

內(nèi)存加載后門模塊

該后門模塊具備各種惡意功能如：鍵盤記錄、文件竊取、遠程控制等惡意功能，以下對一些較為重要的惡意代碼進行舉例說明，

遠程控制相關(guān)代碼，如下圖所示：

遠程控制

執(zhí)行 C&C 服務(wù)器下發(fā)的程序，相關(guān)代碼，如下圖所示：

執(zhí)行 C&C 服務(wù)器下發(fā)的任意程序

鍵盤記錄，相關(guān)代碼，如下圖所示：

鍵盤記錄

二

附錄

C&C：