混混软件卸载后仍留恶意模块 通过云控处事器随时“复生”

注册表相干信息

驻留的QiaoZipRMExtern.dll模块，会对本身当前地址历程是否是explorer.exe举办判定，假如是，则通过注册表键“eysTime”来查询措施前次运行时刻戳，相干代码如下图所示：

查询当前地址历程并获取前次运行时刻戳

注册表相要害值信息

当获取前次运行时刻戳乐成后，会与当前体系时刻举办运算较量。假如前次运行时刻间隔当前体系时刻大于30分钟，则措施继承向下运行，不然继承守候。相干代码如下图所示：

措施前次运行时刻与当前体系时刻举办运算较量

当满意上述时刻差前提后，措施会通过注册表键“uishP”获取QiaoZipSvcHost.exe的地址路径。获取乐成之后，则会拼接运行参数“-startby=2”来执行QiaoZipSvcHost.exe。最后，获取当前时刻并更新注册表“eysTime”的键值，相干代码如下图示：

通过注册表键“uishP”获取QiaoZipSvcHost.exe地址路径

注册表相要害值信息

启动QiaoZipSvcHost.exe并更新“eysTime”键值

QiaoZipSvcHost.exe下载器

QiaoZipSvcHost.exe被挪用后会将当地体系信息上传到C&C处事器，哀求地点如：hxxps://g.qiaoya.xsfaya.com/?r=/v2/api/config/wheel&category=0&manager=1&os=5&parent=1&qid=1&softid=17&uninstalled=1&vd=8&version=1.0.0.0&x64=1，哀求会上传用户的体系版本、软件卸载状态、软件版本等信息。处事器在接到哀求后，会反馈下载相干设置数据。哀求相干代码，如下图所示：

哀求链接结构

哀求长途设置

处事器下发的设置数据为json名目，现阶段我们截获到的设置数据已经没有相干的下载设置，可是我们不解除未来相干设置铺开下发可执行模块的也许性。可是处事器依然可以会见，现阶段我们哀求到的设置，如下图所示：

现阶段我们截获到的设置数据

在处事器设置铺开下发的环境下，QiaoZipSvcHost.exe会按照下载设置中的链接地点下载指定模块到当地执行，相干代码如下图所示：

下载远端文件

执行从远端下载到的可执行文件，相干代码如下图所示：

执行从远端下载的可执行文件

三、附录

样本hash

本文素材来自互联网

（编辑：湖南网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!