rdevz-ph/TJprojMain-Malware-Report

# TJprojMain 可执行文件感染器分析 最近，我在我的开发机器上发现了一个严重的恶意软件感染，它主动劫持了我的软件构建。本文档旨在解释该恶意软件的行为、其症状以及将其彻底清除的正确方法。 ## 发现过程 在将 Python 应用程序编译为独立可执行文件时，我注意到生成文件的属性被完全剥离并替换了。新构建的可执行文件没有显示预期的元数据，而是显示了以下属性： - 原始文件名：TJprojMain.exe - 产品名称：Project1 - 文件版本：1.0.0.0  此外，编译后的应用程序突然需要意外的管理员（UAC）权限才能运行，这表明其内部的应用程序清单已被篡改或移除。 ## 恶意软件的运作方式 在调查了该问题后，我意识到这不是编译器或打包工具的错误。我的机器感染了一种具有攻击性的 Win32 文件感染型病毒。 该恶意软件通过以下几个阶段进行运作： 1. **主动监控：** 病毒作为一个进程在后台静默运行。在我的案例中，它感染了我工作区中的一个合法工具，并将自身嵌入到 Windows 注册表中，以便在启动时自动运行。 2. **即时感染：** 它主动监控文件系统以查找新可执行文件的创建。当开发工具（如 PyInstaller 或 .NET SDK）完成可执行文件的构建时，病毒会立即拦截该文件。 3. **Payload 注入：** 在开发者甚至还没有机会运行新编译的软件之前，病毒就会将其自身的恶意 payload 注入到可执行文件中。它会覆盖 Win32 属性以显示 `TJprojMain` 签名，并剥离嵌入的应用程序清单。 4. **传播：** 由于新编译的应用程序现在成为了一个“携带者”，任何接收或下载此软件的人都会在不知情的情况下运行该病毒，从而使其传播到他们的系统并重新开始上述循环。 ## 主要威胁 该恶意软件从本质上讲是一个旨在快速传播的可执行文件感染器。然而，它在受感染主机上的主要 payload 通常涉及： - **加密货币挖矿：** 它会投放隐藏的组件（通常伪装成 `C:\Windows\Resources\` 目录内的 `svchost.exe` 或 `spoolsv.exe` 等系统文件），利用受感染计算机的 CPU 和 GPU 资源在后台静默挖掘加密货币。 - **后门功能：** 作为一种持续性威胁，它能够连接到远程服务器以下载并执行额外的恶意 payload。 ## 解决方案 尝试手动删除恶意软件进程或依赖简单的批处理脚本是完全不够的。手动删除仅针对活动的运行进程，而硬盘上所有受损的 `.exe` 文件仍完好无损。下次启动任何受感染的程序时，病毒就会立即重新安装自身。 要在不破坏合法应用程序的情况下彻底清除感染，需要使用专门的杀毒工具，从受感染的可执行文件中精准地提取出恶意代码。 我强烈建议使用免费的 Kaspersky Virus Removal Tool (KVRT) 来清理系统： https://www.kaspersky.com/downloads/free-virus-removal-tool 运行该工具时，请确保将所有检测到的对象的操作设置为“Cure”（治愈）。这会指示杀毒软件从您的可执行文件中移除注入的恶意软件 payload，同时安全地保留您的原始应用程序和数据。 ## 扫描结果 

标签：DAST, 云资产清单, 威胁情报, 开发者工具, 恶意软件分析, 文件感染型病毒, 漏洞挖掘, 逆向工具, 逆向工程