- 积分
- 467
- 最后登录
- 2024-3-28
- 精华
- 0
- 阅读权限
- 30
- 主题
- 39
- UID
- 1436378
- 帖子
- 657
- PB币
- 287
- 威望
- 34
- 贡献
- 0
- 技术
- 1
- 活跃
- 2652
- UID
- 1436378
- 帖子
- 657
- PB币
- 287
- 贡献
- 0
- 技术
- 1
- 活跃
- 2652
|
发表于 2021-6-28 14:42:28
IP属地四川
|显示全部楼层
你知道开了会有啥影响么?我要说出来让你难受!哈哈~~~
第一阶段,Computrace存在于BIOS启动过程中,Computrace会在文件系统中查找autocheck.exe文件并备份修改,或者修改修改硬盘驱动器的MBR,在系统启动的最初阶段控制电脑;
第二阶段,通过Windows NT 本地接口访问文件系统删除rpcnetp.exe,创建名为rpcnetp的新服务并修改注册表,最后恢复autocheck.exe;
第三阶段,rpcnetp.exe以服务方式启动,修改自身为dll文件,并加载到内存,创建子进程svchost.exe并挂起,并将dll注入到该进程。当svchost进程恢复时,将创建新的子进程iexplore.exe也挂起,同样将dll的注入到该进程,该进程恢复后,会连接服务端获取新的命令和下载加密模块wceprv.dll、升级模块upgr.exe、主模块rpcnet.exe以及其它模块identprv.dll。最后删除之前的上一阶段创建的服务和rpcnetp.exe文件,并为rpcnet.exe注册和启动一个新服务;
第四阶段,rpcnet以服务方式启动,会通过创建svchost进程等与上一阶段类似的方式连接服务端,然后该服务会在注册表,文件系统和自身等位置查找配置,通过配置连接远程服务端,对服务端提供可扩展的远程访问。
会不定时的往境外服务器发数据,具体是啥数据,也不知道~是不是更像关掉了?哈哈 |
|