流氓软件卸载后仍留恶意模块 通过云控服务器随时“复活”
发布时间:2020-02-28 03:47:37 所属栏目:创业 来源:互联网
导读:副标题#e# 用户大量反馈的“复活”现象,不排除是通过该云控逻辑实现。根据“火绒威胁情报系统”监测和评估,目前受到“巧压”影响的用户或在百万级左右。 “巧压”除了卸载不掉以外,还会产生大量弹窗广告,严重干扰用户日常电脑的使用。目前火绒为用户提
|
请求远程配置 服务器下发的配置数据为json格式,现阶段我们截获到的配置数据已经没有相关的下载配置,但是我们不排除将来相关配置放开下发可执行模块的可能性。但是服务器依然可以访问,现阶段我们请求到的配置,如下图所示:
现阶段我们截获到的配置数据 在服务器配置放开下发的情况下,QiaoZipSvcHost.exe会根据下载配置中的链接地址下载指定模块到本地执行,相关代码如下图所示:
下载远端文件 执行从远端下载到的可执行文件,相关代码如下图所示:
执行从远端下载的可执行文件 三、附录 样本hash
本文素材来自互联网 (编辑:PHP编程网 - 金华站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
