qqpcrtp.exe是什么东西 qqpcrtpexe是什么东西

许多网友对qqpcrtp.exe是什么东西，qqpcrtpexe是什么东西不是很了解，下面让艾巴小编为大家介绍下

据腾讯安全威胁情报中心监测，一款通过“驱动生命”升级频道，同时利用“永恒之蓝”高危漏洞的木马突然爆发，短短两小时内被攻击用户数高达10万。“驾命”木马会利用高危漏洞在企业内网像蠕虫一样传播，并进一步下载云控木马在中毒电脑中挖掘门罗币。一、概述12月14日下午，腾讯安全威胁情报中心监测发现，一款由“驾命”升级，通过“永恒之蓝”高危漏洞传播的木马突然爆发，短短两小时内被攻击用户数高达10万。

“生命驾驶”木马会利用高危漏洞在内网传播蠕虫，并进一步下载云控木马在中毒电脑上挖掘门罗币。云木马控制对企业信息安全威胁很大，企业用户要重视。

周末病毒刚爆发，让企业网管措手不及。员工电脑周一开机后，建议立即杀毒，然后使用杀毒软件的漏洞修复功能安装系统补丁。个人电脑用户可以使用腾讯电脑管家进行防身。

这次病毒爆发有三个特点：

1.驱动生命升级通道的病毒会在中毒电脑上安装云控木马；

2.该病毒会利用永恒之蓝漏洞在局域网中主动传播；

3.通过云控收集中毒电脑的一些信息，接受云指令挖掘中毒电脑中的门罗币。

特洛伊木马攻击流程图

二、详细分析dtlupg.exe访问了以下网站来下载病毒。

hxxp://xxxx。更新。ack ng。com/zip工具/pull execute/f 79 CB 9d 2893 b 254 cc 75 DFB 7 F3 e 454 a 69。可执行程序的扩展名

hxxp://xxxx。更新。ack ng。com/calendar/pull execute/f 79 CB 9d 2893 b 254 cc 75 DFB 7 F3 e 454 a 69。可执行程序的扩展名

(注意，为了防止用户点击上面的链接直接下载病毒程序，已经隐藏了一些字符。)

病毒文件发布于：

c:\ program files(x86)\ dtlsoft \ Riley \ updater \ ctrlf \ f79cb2893b254cc75dbf7f3e454a69.exe等等。

F79cb9d2893b254cc75dfb7f3e454a69.exe终于在运行后发布了C:\WINDOWS\Temp\svvhost.exe。

(MD5:2e 9710 a4 b 9 CB 3c 11e 977 af 87570 e3b)，svvhost.exe打包了“永恒之蓝”等漏洞攻击工具，在内外网进一步传播。

2.1病毒父代

F79CB9D2893B254CC75DFB7F3E454A69.exe

运行后将其自身复制到C:\windows\system32\svhost.exe，作为服务安装启动。该服务被称为Ddiver，然后云控制模块svhhost.exe和攻击模块svvhost.exe被拉起。

在运行时，检测互斥体以确定它是否被感染。

通过检测以下进程，将收集软件查杀信息并准备上传。

360托盘。exe | 360 SD。exe | AVP。exe | kvmonxp。exe | rav mond。exe | mcshield。exe | egui。exe | kxe托盘。exe | knsdtray。exe | tmbmsrv。exe | av中心。exe | ash dispexe | rtvscan。exe | ksafe。exe | qpcrtp。可执行程序的扩展名

当任务管理器和游戏进程被检测到时，云控制模块svhhost.exe退出。

打开互斥锁。对象名为“我是xmr的记者”，意思是xmrig.exe矿机。

收集系统敏感信息上传到hxp://i.hago.net/i.png，接受返回的云控制代码执行。

设置父进程HSKALWOEDJSLALQEOD的共享内存

2.2采矿

云木马svhhost.exe的主要功能是从父进程svhost.exe的共享内存中读取shellcode进行解密和执行，每隔2000秒从共享内存中读取shellcode进行解密和执行。共享内存被命名为HSKALWOEDJSLALQEOD。目前这个shellcode主要用于挖矿，不排除后面会拉其他更恶意的加密、勒索等木马病毒。

云木马执行流程

云木马运行后会创建一个线程。这个线程函数的主要功能是判断进程svhost.exe(父进程)是否存在。如果它不存在，启动该进程，然后从该进程中读取共享内存数据。

创建一个线程来确定父进程是否存在。

调用OpenFileMappingA打开共享内存，读取共享内存数据。

读取共享内存数据

调用RtlDecompressBuffer函数对共享内存中的数据进行解压缩，为下一次执行做准备。

解压缩共享内存数据

共享内存数据将在被加压后执行。目前这个shellcode的主要功能是挖矿，不排除后期会拉其他更恶意的木马病毒，比如加密、勒索等。

执行外壳代码

尝试采矿时，通信IP是172.105.204.237。

2.3攻击模块

攻击模块从地址hxp:/hxxp://dl . Haq o . net/EB . exez下载，并作为子进程Svvhost.Exe启动。分析表明，该文件是一个python实现的“永恒之蓝”漏洞模块压缩打包程序。

Svvhost。Exe是一个子进程，是一个打包器，压缩了python实现的“永恒之蓝”漏洞利用模块。

Mysmb.pyo是攻击时的扫码。

相关开源代码也可以在GitHub上看到。

扫描内部网的445端口进行攻击。

不仅攻击网易被攻击的机器，还随机找几个外部IP尝试攻击，一次攻击后沉默20分钟。

攻击成功后，paylaod在中招的机器中执行以下命令，传播内网。

cmd.exe/c证书-URL缓存-拆分-f

建议1。服务器临时关闭不必要的端口(如135、139、445)。请参考：

2.周一上班后，建议企业用户使用腾讯御点查杀病毒(个人用户可使用腾讯电脑管家)，然后使用漏洞修复功能修复全网终端高危漏洞；

3.服务器使用高强度密码代替弱密码，防止黑客暴力破解；

4.使用杀毒软件拦截可能的病毒攻击；

5.建议企业用户部署腾讯御捷高级威胁检测系统，防御可能的黑客攻击。御捷高级威胁检测系统是基于腾讯反病毒实验室的安全能力，依托腾讯在云端和终端的海量数据，打造的独特的威胁情报和恶意检测模型系统。