1，问题叙述 近期，EDR安全性精英团队相信捕捉了装扮成激话手机软件Windows Loader的病毒样本。历经剖析，样版沒有激话作用，其关键作用是安裝广告软件和发掘程序流程。 发掘程序流程将起动系统进程并将发掘编码引入在其中，并循环系统监控taskmgr.exe系统进程。假如检验到taskmgr.exe系统进程，则将停止发掘，使受害人更无法检验。

2，个人行为剖析 2.2 病毒感染孕妈 病毒感染父标志装扮成Windows Loader：

事实上，这是1个应用CreateInstall建立的安装文件：

安裝页面：

 将下列文档公布到C: \ Program Files（x86）\ KMSPico 10.2.1最后文件目录并运作脚本制作WINLOADER_SETUP.BAT。

 WINLOADER_SETUP.BAT按序运作WindowsLoader.exe，Registry_Activation_2751393056.exe和activation.exe。

 WindowsLoader.exe和Registry_Activation_2751393056.exe全是广告软件，activation.exe是1个发掘程序流程。 3.2 WindowsLoader.exe 第一位是WindowsLoader.exe。能够看得出，病毒感染编写者显而易见是摄影师发烧友，他不容易忘掉将他喜爱的艺术照片插进到综艺节目的資源中。 WindowsLoader.exe安裝页面：

 将下载并安装RunBooster：

装RunBooster服务项目：

RunBoosterUpdateTask升級任务计划：

 RunBooster的数据文件捕捉个人行为：

2.2 Registry_Activation_2751393056.exe Registry_Activation_2751393056.exe安裝页面：

 该作用存在的问题。免费下载的exe文档沒有尾缀名字：

2.6 activation.exe 最先在Local文件目录中建立1个新的cypjMERAky文件夹名称，随后在下边自主拷贝。

加上注册表自启动项。

查验taskmgr.exe系统进程是不是存有。

 假如taskmgr.exe系统进程找不到，请应用主要参数“-a cryptonight -o stratum + tcp: //xmr.pool.minergate.com: 45560 -u minepool@gmx.com - 起动系统进程wuapp.exe - px -t 2“。 照片304-1024x529.png 将发掘程序流程引入wuapp.exe系统进程。

开采程序流程是开源系统的cpuminer-multi 1.3-dev。

 进到循环系统，维护注册表自启动项，并检验taskmgr.exe系统进程，并在检验到时停止wuapp.exe。 

3，解决方法 （1）不必从不明网址下载应用，不必点一下来路不明的电子邮箱和附注; （2）立即修复电子计算机以修复漏洞; （3）试着关掉多余的文件共享管理权限并关掉多余的端口号，如：445,145,139,3389等; （4）安裝技术专业的终端设备/服务器安全维护手机软件，确信EDR能合理消灭病毒感染。