阻止电脑自动安装软件的方法 qqpcrtp是什么进程

文章插图
腾讯安全御见威胁情报中心监测发现，一款通过“驱动人生”升级通道，并同时利用“永恒之蓝”高危漏洞传播的木马突然爆发，仅2个小时受攻击用户就高达10万。“驱动人生”木马会利用高危漏洞在企业内网呈蠕虫式传播，并进一步下载云控木马，在中毒电脑进行门罗币挖矿。
一、概述12月14日下午，腾讯安全御见威胁情报中心监测发现，一款通过“驱动人生”升级通道，并同时利用“永恒之蓝”高危漏洞传播的木马突然爆发，仅2个小时受攻击用户就高达10万。
“驱动人生”木马会利用高危漏洞在企业内网呈蠕虫式传播，并进一步下载云控木马，在中毒电脑上进行门罗币挖矿。云控木马对企业信息安全威胁巨大，企业用户须重点关注。
该病毒爆发刚好是周末时间，令企业网管猝不及防，周一工作日员工电脑开机后，建议立刻查杀病毒，再使用杀毒软件的漏洞修复功能安装系统补丁。个人电脑用户使用腾讯电脑管家即可防御。
本次病毒爆发有三个特点：
1.驱动人生升级通道传播的病毒会在中毒电脑安装云控木马；
2.病毒会利用永恒之蓝漏洞在局域网内主动扩散；
3.通过云端控制收集中毒电脑部分信息，接受云端指令在中毒电脑进行门罗币挖矿。
木马攻击流程图
二、详细分析dtlupg.exe访问以下url下载病毒
hxxp://xxxx.update.ackng.com/ziptool/pullexecute/f79cb9d2893b254cc75dfb7f3e454a69.exe
hxxp://xxxx.update.ackng.com/calendar/pullexecute/f79cb9d2893b254cc75dfb7f3e454a69.exe
（注意，为避免网友点击以上链接可以直接下载病毒程序，对部分字符做了隐藏处理）
病毒文件释放在：
C:Program Files (x86)DTLSoftriliUpdaterctrlff79cb9d2893b254cc75dfb7f3e454a69.exe等位置执行。
f79cb9d2893b254cc75dfb7f3e454a69.exe 运行后最终释放出 C:WINDOWSTempsvvhost.exe
（MD5：2E9710A4B9CBA3CD11E977AF87570E3B）运行， svvhost.exe打包了“永恒之蓝”等漏洞攻击工具在内外网进一步扩散。
2.1 病毒母体
F79CB9D2893B254CC75DFB7F3E454A69.exe
运行后将自身拷贝到C:windowssystem32svhost.exe ，安装为服务并启动，服务名为Ddiver ，并在随后拉起云控模块svhhost.exe、攻击模块svvhost.exe 。
运行时先检测互斥体，确定是否已感染过。
通过检测以下进程将杀软信息搜集准备上传。
360tray.exe|360sd.exe|avp.exe|KvMonXP.exe|RavMonD.exe|Mcshield.exe|egui.exe|kxetray.exe|knsdtray.exe|TMBMSRV.exe|avcenter.exe|ashDisp.exe|rtvscan.exe|ksafe.exe|QQPCRTP.exe
检测到任务管理器及游戏进程则将云控模块svhhost.exe退出。
打开互斥体，对象名称为”I am tHe xmr reporter” ， xmr意指xmrig.exe矿机。
搜集系统敏感信息上传到hxxp://i.haqo.net/i.png,并接受返回的云控代码等待执行。
母体设置进程共享内存HSKALWOEDJSLALQEOD
2.2 挖矿
云控木马svhhost.exe其主要功能是，从母体进程svhost.exe共享内存中读取shellcode解密并执行，每隔2000秒读取一次共享内存中的shellcode进行解密执行，共享内存名为HSKALWOEDJSLALQEOD ，目前该shellcode主要功能挖矿,不排除后期会拉取其他更加恶意如加密勒索等木马病毒执行
云控木马执行流程
云控木马运行后会创建一个线程，该线程函数主要功能是判断进程svhost.exe(母体进程)是否存在，不存在的话则启动该进程，接下来要读取的共享内存数据就是从该进程进行读取

以上关于本文的内容，仅作参考！温馨提示：如遇健康、疾病相关的问题，请您及时就医或请专业人士给予相关指导!

「四川龙网」www.sichuanlong.com小编还为您精选了以下内容，希望对您有所帮助：