近日，深信服EDR安适团队捕获到一个伪装成激活软件Windows Loader的病毒样本。经分析，该样本并没有激活成果，其主要成果是安置告白软件以及挖矿措施。

挖矿措施会拉起系统进程并在此中注入挖矿代码，并循环监控taskmgr.exe进程，如果检测到taskmgr.exe进程则终止挖矿，使得受害者对照难以察觉。

2、行为分析

2.1 病毒母体

病毒母体图标伪装成Windows Loader：

其实是用CreateInstall制作的安置包：

安置界面：

释放如下几个文件到C:\Program Files (x86)\KMSPico 10.2.1 Final目录并运行脚本WINLOADER_SETUP.BAT。

WINLOADER_SETUP.BAT依次运行WindowsLoader.exe、Registry_Activation_2751393056.exe和activation.exe。

WindowsLoader.exe与Registry_Activation_2751393056.exe都是告白软件，activation.exe则是挖矿措施。

2.2 WindowsLoader.exe

首先是WindowsLoader.exe，可以看出病毒作者显然是个摄影喜好者，在措施的资源中也不忘插入本身喜欢的艺术照（已马赛克措置惩罚惩罚）。

WindowsLoader.exe安置界面：

会下载并安置RunBooster：

安置RunBooster处事：

RunBoosterUpdateTask升级任务打算：

RunBooster的抓包行为：

2.3 Registry_Activation_2751393056.exe

Registry_Activation_2751393056.exe安置界面：

成果存在问题，下载的exe文件没有带后缀名：

2.4 activation.exe

首先在Local目录下新建cypjMERAky文件夹并将本身拷贝到下面。

添加注册表自启动项。

检测是否存在taskmgr.exe进程。

如果taskmgr.exe进程不存在则拉起系统进程wuapp.exe，参数为“ -a cryptonight -o stratum+tcp://xmr.pool.minergate.com:45560 -u minepool@gmx.com -p x -t 2”。