WmiPrvSE 無檔案攻擊——基本上都是借同一個程序名字來迷惑使用者
Wmiprvse.exe程序詳細引數
Wmiprvse.exe是Windows管理規範(WMI),它是微軟 Windows 作業系統的一個元件,它能夠實現為使用者提供管理資訊和企業環境中的控制功能。管理者可以用WMI查詢和設定關於系統桌面、應用程式、網路,和其它元件的資訊。有經驗的開發人員可以用WMI建立事件監視應用程式,一旦出現異常情況即可通知使用者,是一款十分有用的系統元件。
黑客們會利用這一點,他們用木馬病毒程式感染系統檔案Wmiprvse.exe,或者讓病毒程式插入wmiprvse.exe執行,這時候wmiprvse.exe已經成為病毒木馬程式或病毒木馬的載體。這種情況下,電腦很容易丟失重要帳號資訊,或者瀏覽器主頁被鎖定。
Wmiprvse.exe程序詳細引數
程序檔案:wmiprvse or wmiprvse.exe
程序名稱:Microsoft Windows Management Instrumentation
出品者:Microsoft
屬於:Microsoft Windows Operating System
系統程序:是
後臺程式:是
使用網路:否
硬體相關:否
常見錯誤:未知N/A
記憶體使用:未知N/A
安全等級 (0-5):0
間諜軟體:否
廣告軟體:否
病毒:否
木馬:否
其它:微軟正版認證重要後臺程式之一
從Windows XP開始,WMI屬於有著幾個其它服務的一個共享服務宿主。為了避免當一個提供程式失敗時停止所有服務,提供程式被載入一個名為Wmiprvse.exe的分開的主機程序。Wmiprvse.exe 的多個例項可以同時執行在不同的帳戶下:LocalSystem、NetworkService,或LocalService。WMI 核心WinMgmt.exe被載入名為Svchost.exe的共享的本地服務宿主。
注:wmiprvse.exe檔案尋找,正常的應該在C:WINDOWS System32 Wbem資料夾。如果在其它檔案,wmiprvse.exe就是病毒、間諜軟體、特洛伊木馬或蠕蟲! 用安全工作管理員檢查這。如果發現程序中含有多個wmiprvse.exe 程序則為電腦中病毒,一般使用防毒軟體都可以有效清除。
惡意軟體的案例:
https://any.run/report/a7c2f6517a6c7f3091afc8566040a6a56aa50b162fa4ee416ebc0ede72cda6f7/c23ad5f3-1936-422d-bdbd-01c01984a7c6
https://any.run/report/a2dd57b545d9a82e4985a44d3a2e75ad0ac076ca4da8658eea89f95f58ef82fc/6f11c244-bd96-4a68-a1c1-e1891333fa39
https://any.run/report/02d3e29c37af562636fd0020a6c586711fbbab3838a82dbd25987d14ed919c65/530da726-e903-425b-9a08-30c505603f3e#registry
原本該程序位置在C盤wbem下:
$ which WmiPrvSE
/c/WINDOWS/System32/Wbem/WmiPrvSE
而非法的程序是在:
"C:\ProgramData\Adobe\ARM\Reader_15.007.20033\WmiPrvSE.exe"