WmiPrvSE 无文件攻击——基本上都是借同一个进程名字来迷惑用户

Wmiprvse.exe进程详细参数

　　Wmiprvse.exe是Windows管理规范(WMI)，它是微软 Windows 操作系统的一个组件，它能够实现为用户提供管理信息和企业环境中的控制功能。管理者可以用WMI查询和设置关于系统桌面、应用程序、网络，和其它组件的信息。有经验的开发人员可以用WMI创建事件监视应用程序，一旦出现异常情况即可通知用户，是一款十分有用的系统组件。

　　黑客们会利用这一点，他们用木马病毒程序感染系统文件Wmiprvse.exe，或者让病毒程序插入wmiprvse.exe运行，这时候wmiprvse.exe已经成为病毒木马程序或病毒木马的载体。这种情况下，电脑很容易丢失重要帐号信息，或者浏览器主页被锁定。

　　Wmiprvse.exe进程详细参数

　　进程文件：wmiprvse or wmiprvse.exe

　　进程名称：Microsoft Windows Management Instrumentation

　　出品者：Microsoft

　　属于：Microsoft Windows Operating System

　　系统进程：是

　　后台程序：是

　　使用网络：否

　　硬件相关：否

　　常见错误：未知N/A

　　内存使用：未知N/A

　　安全等级 (0-5)：0

　　间谍软件：否

　　广告软件：否

　　病毒：否

　　木马：否

　　其它：微软正版认证重要后台程序之一

　　从Windows XP开始，WMI属于有着几个其它服务的一个共享服务宿主。为了避免当一个提供程序失败时停止所有服务，提供程序被载入一个名为Wmiprvse.exe的分开的主机进程。Wmiprvse.exe 的多个实例可以同时运行在不同的帐户下：LocalSystem、NetworkService，或LocalService。WMI 核心WinMgmt.exe被载入名为Svchost.exe的共享的本地服务宿主。

　　注：wmiprvse.exe文件寻找，正常的应该在C:WINDOWS System32 Wbem文件夹。如果在其它文件，wmiprvse.exe就是病毒、间谍软件、特洛伊木马或蠕虫! 用安全任务管理器检查这。如果发现进程中含有多个wmiprvse.exe 进程则为电脑中病毒，一般使用杀毒软件都可以有效清除。

 

恶意软件的案例：

https://any.run/report/a7c2f6517a6c7f3091afc8566040a6a56aa50b162fa4ee416ebc0ede72cda6f7/c23ad5f3-1936-422d-bdbd-01c01984a7c6

https://any.run/report/a2dd57b545d9a82e4985a44d3a2e75ad0ac076ca4da8658eea89f95f58ef82fc/6f11c244-bd96-4a68-a1c1-e1891333fa39

https://any.run/report/02d3e29c37af562636fd0020a6c586711fbbab3838a82dbd25987d14ed919c65/530da726-e903-425b-9a08-30c505603f3e#registry

 

原本该进程位置在C盘wbem下：

$ which WmiPrvSE
/c/WINDOWS/System32/Wbem/WmiPrvSE

而非法的进程是在：

 "C:\ProgramData\Adobe\ARM\Reader_15.007.20033\WmiPrvSE.exe"