但是使用"高速下载器"在后台安装时,"下载器"会根据网络上配置的文件"kpazq5.ini"为"云记事本"安装程序添加安装参数"-silent"。
△配置文件
"云记事本"安装程序会判断启动参数。安装程序根据该标志位执行不同流程,如果使用参数"-silent"启动,就会执行病毒下载和安装流程,如下图所示:
△病毒安装流程
安装程序在执行病毒下载流程时,会检测用户计算机是否包含"ksafesvc.exe"和"baidusdsvc.exe"两个进程,如果存在任意一个进程,安装程序就会设置标志位"g_bflags"(如下图所示)。该标志位决定安装包释放的"病毒下载器"文件"net.dat",是由"云记事本"安装包加载,还是由另一个带有有效数字签名"pdfsvr.exe"程序加载,这样做的目的是为了利用这些安全软件的"白名单信任漏洞"。
△检测金山和百度
上一篇:使用斗鱼直播伴侣的使用教程方法
网友评论(共有 0 条评论)
