WmiPrvSE 无文件攻击——基本上都是借同一个进程名字来迷惑用户

Wmiprvse.exe进程详细参数

  Wmiprvse.exe是Windows管理规范(WMI),它是微软 Windows 操作系统的一个组件,它能够实现为用户提供管理信息和企业环境中的控制功能。管理者可以用WMI查询和设置关于系统桌面、应用程序、网络,和其它组件的信息。有经验的开发人员可以用WMI创建事件监视应用程序,一旦出现异常情况即可通知用户,是一款十分有用的系统组件。

  黑客们会利用这一点,他们用木马病毒程序感染系统文件Wmiprvse.exe,或者让病毒程序插入wmiprvse.exe运行,这时候wmiprvse.exe已经成为病毒木马程序或病毒木马的载体。这种情况下,电脑很容易丢失重要帐号信息,或者浏览器主页被锁定。

  Wmiprvse.exe进程详细参数

  进程文件:wmiprvse or wmiprvse.exe

  进程名称:Microsoft Windows Management Instrumentation

  出品者:Microsoft

  属于:Microsoft Windows Operating System

  系统进程:是

  后台程序:是

  使用网络:否

  硬件相关:否

  常见错误:未知N/A

  内存使用:未知N/A

  安全等级 (0-5):0

  间谍软件:否

  广告软件:否

  病毒:否

  木马:否

  其它:微软正版认证重要后台程序之一

  从Windows XP开始,WMI属于有着几个其它服务的一个共享服务宿主。为了避免当一个提供程序失败时停止所有服务,提供程序被载入一个名为Wmiprvse.exe的分开的主机进程。Wmiprvse.exe 的多个实例可以同时运行在不同的帐户下:LocalSystem、NetworkService,或LocalService。WMI 核心WinMgmt.exe被载入名为Svchost.exe的共享的本地服务宿主。

  注:wmiprvse.exe文件寻找,正常的应该在C:WINDOWS System32 Wbem文件夹。如果在其它文件,wmiprvse.exe就是病毒、间谍软件、特洛伊木马或蠕虫! 用安全任务管理器检查这。如果发现进程中含有多个wmiprvse.exe 进程则为电脑中病毒,一般使用杀毒软件都可以有效清除。

 

恶意软件的案例:

https://any.run/report/a7c2f6517a6c7f3091afc8566040a6a56aa50b162fa4ee416ebc0ede72cda6f7/c23ad5f3-1936-422d-bdbd-01c01984a7c6

https://any.run/report/a2dd57b545d9a82e4985a44d3a2e75ad0ac076ca4da8658eea89f95f58ef82fc/6f11c244-bd96-4a68-a1c1-e1891333fa39

https://any.run/report/02d3e29c37af562636fd0020a6c586711fbbab3838a82dbd25987d14ed919c65/530da726-e903-425b-9a08-30c505603f3e#registry

 

原本该进程位置在C盘wbem下:

$ which WmiPrvSE
/c/WINDOWS/System32/Wbem/WmiPrvSE

而非法的进程是在:

 "C:\ProgramData\Adobe\ARM\Reader_15.007.20033\WmiPrvSE.exe"

 

posted @ 2022-03-18 15:49  bonelee  阅读(997)  评论(0编辑  收藏  举报