混混软件卸载后仍留恶意模块 通过云控处事器随时“复生”
|
副问题[/!--empirenews.page--]
用户大量反馈的“复生”征象,不解除是通过该云控逻辑实现。按照“火绒威胁谍报体系”监测和评估,今朝受到“巧压”影响的用户或在百万级阁下。 “巧压”除了卸载不掉以外,还会发生大量弹窗告白,严峻滋扰用户一般电脑的行使。今朝火绒为用户提供以下两种办理要领: 1、 彻底卸载 用户通过“节制面板”卸载“巧压”后,行使“火绒安详软件”举办通盘扫描,即可彻底卸载该软件。 2、 保存压缩成果 用户直接行使“火绒安详软件”举办通盘扫描,即可彻底删除恶意模块以及弹窗告白模块,只保存压缩成果。
关于“巧压”是怎样驻留用户电脑的,请见我们的具体说明陈诉。 附:【说明陈诉】 一、配景 近期,火绒接到大量用户反馈称压缩软件巧压,在软件被卸载后会“复生”从头装回用户电脑,随后我们针对巧压的相干混混举动举办了具体说明。该混混软件在卸载后,处事项和Shell扩展项依然会驻留在用户电脑中。上述驻留项被挪用后,最终会挪用驻留在用户电脑中的QiaoZipSvcHost.exe下载执行远端处事器下发的可执行措施。固然在陈诉发出时,我们未获取到有用的“复生”相干远端设置数据,但我们不解除浩瀚网友所碰着的巧压“复生”的环境与相干逻辑有关的也许性。巧压软件卸载后的部门驻留模块,如下图所示:
巧压软件卸载后的部门驻留模块 巧压软件卸载后驻留的Shell扩展项加载环境,如下图所示:
驻留的Shell扩展项加载环境 巧压软件卸载后驻留的处事项加载环境,如下图所示:
驻留的处事项加载环境 除此之外,该软件在行使进程中还会发生较多的告白弹窗,严峻影响了用户对小我私人电脑的正常行使。该混混软件发生的告白弹窗,如下图所示:
告白弹窗
告白弹窗 二、具体说明 启动方法 QiaoZipSvcHost.exe可由“QiaoZipSvcHost.dll”和“QiaoZipRMExtern.dll”模块挪用启动,启动流程大抵沟通,默认启动隔断均为30分钟。该混混软件执行流程,如下图所示:
混混软件执行流程 QiaoZipSvcHost.dll启动QiaoZipSvcHost.exe 靠山驻留的处事由QiaoZipMd5Tool.exe模块注册。Install.exe安装包措施执行后会解出QiaoZipMd5Tool.exe和用于处事执行的QiaoZipSvcHost.dll文件。QiaoZipMd5Tool.exe直接启动时为带有界面的Hash校验器材,但也可以通过添加呼吁行参数的方法将QiaoZipSvcHost.dll静默注册为处事。相干措施运行信息如下图所示:
措施运行信息 驻留的处事会在SeviceMain中建设线程,隔断固按时刻(默以为30分钟,也可通过注册表项HKCUSoftwareQiaoZipSvcHostQiaoZipSvcHost键值retainPI设定分钟数)启动模块QiaoZipSvcHost.exe , 参数为 -startby=1。 QiaoZipSvcHost.exe的路径从注册表中HKCUSoftwareQiaoZipSvcHostQiaoZipSvcHost键值uishP得到。相干代码如下图所示:
ServiceMain中建设线程用于启动模块
每隔固按时刻启动
建设历程启动
注册表 QiaoZipRMExtern.dll启动QiaoZipSvcHost.exe QiaoZipMd5Tool.exe会将QiaoZipRMExtern.dll注册为图标处理赏罚措施组件(ShellIconOverlayIdentifiers),当explorer.exe处理赏罚文件图标时,便会将其加载起来。相存眷册表项如下图所示: (编辑:湖南网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
