远控驱动后门木马分析，上传

该远控端，通过生成64的 shellcode，再经过编译免杀后放在放在exe里面上线，

上线后然后在uac提权，提权后，在扩展插件里面执行一个结束36660.dll结束360 并且关闭核晶
关闭360后然后在功能→权限维持里面写入驱动后门木马

该36660.dll插件，经过分析，里面利用了一个过父去执行wegame.exe文件去关闭360 和360核晶
这个过父要经过uac提权后才能够去执行操作，该过父可以利用系统任何的进程去执行文件，
例如利用360Safe.exe去执行wegame.exe

如果受害者在没有360卫士的情况下，打开该木马后可以直接uac提权后写入后门驱动木马
并且该远控在提权后，火绒，管家等杀软，不需要关闭，可以直接写入驱动后门木马

该主控端经过破译后，已经上传，希望能帮助各位，目前该木马在快速传播图片发不出去就不发图片了里面的插件可以利用很多的系统漏洞，
uac提权结束360 写入驱动木马结束微软杀毒管家火绒等等
旧版本含插件已上传，最近对方团伙已发布了新版本

KeyGen-注册机.zip (472.51 KB)