kmspico是什么 kmspico可以卸载吗

揭露一种伪装成激活软件WindowsLoader的病毒。经分析，该病毒无激活功能，却擅长安装广告软件及挖矿程序。

该病毒会悄无声息地利用挖矿程序注入系统进程，特别是挖矿代码的介入，并且对taskmgr.exe进程进行持续监控。一旦检测到taskmgr.exe进程运行，挖矿活动即刻停止，从而增加了对其难以察觉的难度。

1. 病毒外观与传播途径

病毒图标模仿Windows Loader，实际上是通过CreateInstall制作的安装包进行传播。

安装界面伪装成正常软件安装模式，实则暗藏玄机。

病毒文件被释放到C:\Program Files (x86)\KMSPico 10.2.1 Final目录，并执行名为WINLOADER_SETUP.BAT的脚本。

2. WindowsLoader.exe详细剖析

安装界面后，WindowsLoader.exe开始工作，会进一步下载并安装RunBooster服务。

RunBooster的升级任务计划及抓包行为，为病毒提供了持续的隐蔽性和活跃度。

3. Registry_Activation_.exe功能揭秘

该执行文件虽具有界面，但所下载的exe文件并不带后缀名，这似乎为病毒增添了一层迷雾。

4. 挖矿程序细节

挖矿程序以开源的cpuminer-multi 1.2-dev为工具，并在Local目录下设立了cypjMERAkyky文件夹作为跳板。

程序通过添加注册表自启动项以实现持续运行，并检测系统进程。一旦发现taskmgr.exe不存在，则启动wuapp.exe并注入挖矿代码。此挖矿程序循环工作，保护自身不被轻易删除或终止。

"小马激活"病毒的新动向

提及早期版本的"小马激活"病毒，仅在浏览器快捷方式与注册表上做手脚以劫持用户首页。随着安全软件的查杀与防护措施的加强，其流行时间并不长久。

后续的第二、第三变种增强了与安全软件的对抗能力。

近期发现的"小马激活"最新变种更为复杂，不仅加强了其对抗技术，还使用了高级驱动文件保护措施。

此变种利用VMProtect加壳技术并借助文件系统过滤驱动来保护其文件不被删除。通过这种方式，其他进程在尝试操作该驱动文件时实际上是在操作tcpip.sys文件。

当试图删除受保护的驱动文件时，实际上会删除系统关键文件tcpip.sys，导致网络连接中断。火绒剑等工具在查看此类文件信息时也会被误导。

该驱动会在系统关机时重新复制成新名称的驱动文件并写入注册表以实现自启动。在驱动加载后，还会将locc.dll注入到explorer.exe中以执行首页劫持逻辑。

防护建议

(1) 及时更新电脑补丁以修复潜在漏洞；

(2) 谨慎关闭不必要的文件共享权限和端口如445、135、139、3389等；

(3) 安装可靠的终端/服务器安全防护软件如深信服EDR来有效防范此类病毒。