还在用工具激活系统?小心被当做矿机!
一、现象描述
近日,深信服EDR安全团队捕获到一个伪装成激活软件WindowsLoader的病毒样本。经分析,该样本并没有激活功能,其主要功能是安装广告软件以及挖矿程序。
挖矿程序会拉起系统进程并在其中注入挖矿代码,并循环监控taskmgr.exe进程,如果检测到taskmgr.exe进程则终止挖矿,使得受害者比较难以察觉。
二、行为分析
2.1 病毒母体
病毒母体图标伪装成Windows Loader:
其实是用CreateInstall制作的安装包:
安装界面:
释放如下几个文件到C:\Program Files (x86)\KMSPico 10.2.1 Final目录并运行脚本WINLOADER_SETUP.BAT。
WINLOADER_SETUP.BAT依次运行WindowsLoader.exe、Registry_Activation_2751393056.exe和activation.exe。
WindowsLoader.exe与Registry_Activation_2751393056.exe都是广告软件,activation.exe则是挖矿程序。
2.2 WindowsLoader.exe
首先是WindowsLoader.exe,可以看出病毒作者显然是个摄影爱好者,在程序的资源中也不忘插入自己喜欢的艺术照(已马赛克处理)。
WindowsLoader.exe安装界面:
会下载并安装RunBooster:
安装RunBooster服务:
RunBoosterUpdateTask升级任务计划:
RunBooster的抓包行为:
2.3 Registry_Activation_2751393056.exe
Registry_Activation_2751393056.exe安装界面:
功能存在问题,下载的exe文件没有带后缀名:
2.4 activation.exe
首先在Local目录下新建cypjMERAky文件夹并将自己拷贝到下面。
添加注册表自启动项。
检测是否存在taskmgr.exe进程。
如果taskmgr.exe进程不存在则拉起系统进程wuapp.exe,参数为“ -a cryptonight -o stratum+tcp://xmr.pool.minergate.com:45560 -uminepool@gmx.com -p x -t 2”。
将挖矿程序注入到wuapp.exe进程。
挖矿程序为开源的cpuminer-multi 1.2-dev。
进入循环,守护注册表自启动项,并检测taskmgr.exe进程,如果检测到则终止wuapp.exe。
三、解决方案
(1)不从不明网站下载软件,不要点击来源不明的邮件以及附件;
(2)及时给电脑打补丁,修复漏洞;
(3)尽量关闭不必要的文件共享权限以及关闭不必要的端口,如:445,135,139,3389等;
(4)安装专业的终端/服务器安全防护软件,深信服EDR能够有效查杀该病毒。
*本文作者:千里目安全实验室,转载请注明来自FreeBuf.COM
电脑任务管理器快捷键
任务管理器是微软Windows操作系统中的一个核心组件,它集成了任务管理、系统监视和启动管理等多项功能,为用户提供了全面而深入的计算机性能和运行软件的信息。通过任务管理器,用户可以轻松查看正在运行的进程、CPU负载、内存使用情况、输入/输出详细信息、登录用户以及Windows服务等关键信息。此外,任务管理器还为用户提供了丰富的操作选项,如设置进程优先级、处理器关联性、启动和停止服务以及强制终止进程等。
在近期版本的Windows中,启动任务管理器有多种方法,如按下Win+R组合键后键入taskmgr.exe,或按下Ctrl+Alt+Delete组合键后单击“开始任务管理器”,还可以通过按下Ctrl+Shift+Esc组合键或右键单击Windows任务栏并选择“任务管理器”来快速启动。这些便捷的启动方式使得用户能够在任何时刻迅速访问任务管理器,以便对计算机的性能和运行状态进行实时监控和管理。
任务管理器的发展历程可以追溯到Windows NT 4.0时期,当时它以当前的形式被引入。在早期的Windows NT版本以及Windows 3.x中,虽然也有类似的任务列表应用程序,但这些程序的功能相对较为简单,只能列出当前运行的进程并结束它们,或者创建一个新的进程。随着Windows操作系统的不断升级和进化,任务管理器的功能也逐渐得到了增强和完善。
在Windows 9x时代,出现了一个名为“关闭程序”的程序,它可以列出当前正在运行的程序,并为用户提供关闭程序和关闭计算机的选项。虽然这个程序的功能相比现代的任务管理器仍显得较为有限,但它已经初步具备了任务管理的概念,为后来的任务管理器的发展奠定了基础。
随着时间的推移,任务管理器在Windows操作系统中的地位逐渐提升,成为了一个不可或缺的系统工具。无论是在个人计算机还是企业级应用中,任务管理器都发挥着重要的作用。它不仅能够帮助用户了解计算机的性能和运行状态,还能够协助用户解决各种系统问题,如进程冲突、资源占用过多等。
综上所述,任务管理器作为微软Windows操作系统中的一个核心组件,以其强大的功能和便捷的操作方式赢得了广大用户的青睐。通过不断升级和完善,任务管理器将继续在Windows操作系统的发展中发挥着重要的作用,为用户提供更加全面和高效的计算机管理和维护体验。
相关问答
任务管理器打不开, TASKMGR.EXE 变成了 TASKMGR.EXE .mui-ZOL问答您只需要在网上下载一个任务管理器程序就可以了。不过还是需要彻底清除病毒才...在右侧窗格中创建名为DisableTaskMgr的Dword值,将其值设置为1即可禁用“任务管...
exe 怎么办?Win7误删 Taskmgr ? - PyCXgt6CMbY 的回答 - 懂得Win7误删Taskmgr.exe进程的解决技巧:第一步、键盘中按下Win+R组合开启运行,键入cmd调出命令提示符框口。第二步、键入SFC/Scannow字符令后按回车键...
taskmgr.exe 是做什么用的,为什么我一开机就占去50%的cpu使用?taskmgr.exe是任务管理器,但按照你这种情况看很可能被win32.HLLW.Lovgate爱情后门蠕虫感染。该病毒将一个监测程序以线程的方式注入到任意的Explorer.exe或是...
电脑开始菜单里的运行的指令是什么?字母mo开头的.-ZOL问答内存占用:运行输入taskmgr.exe(或ctrl+alt+del)打开windows任务管理器,单击...mac电脑下载Mojave不动858浏览1回答电脑只显示MOV格式视频缩...
win11任务管理器打开直接卡死闪退,之后再也打不开了 - Micro...[回答]试试看下面是基本的排查方法Windows11任务管理器卡死,可能是相关系统组件出现问题导致的,建议您先尝试以下方案检查系统组件完整性:在命令提示符(...
win10任务管理器闪退 - Microsoft Community[回答]n+R组合键输入regedit。找到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies,在Policies子键下,...
电脑如何打开任务管理器呢? - jia尹 的回答 - 懂得打开任务管理器的方法方法一:任务栏右键法最简单的也是最常用的。直接在任务栏空白处点击鼠标右键。然后点击启动任务管理器选项。这时任务管理...
任务管理器怎么恢复出厂设置?打开注册...要恢复任务管理器到出厂设置,首先打开任务管理器,然后点击左上角的“文件”菜单,选择“运行新任务”。在弹出的窗口中输入“regedit”并点击“确...
seewo如何打开任务管理器?第一种方法通过桌面任务栏打开第一步对着桌面任务栏右键,选择“启动任务管理器”第二步点击进去,就进去任务管理器了第二种方法通过快捷键打开第一步按...
戴尔任务管理器快捷键是什么?方法一:按顺序连续按住Ctrl、Alt和Delete键。找到【任务管理器】点击进去。方法二:在任务栏底部空白地方,用鼠标右键点击,打开一个菜单栏,点击即可打开任...