这些文件的主要功能为：首先启动Nsec.exe；紧接着通过运行run.ps1（一连串url关联，最终使用zr.exe进行压缩）将原本路径C:\Users\Public\Documents"随机字符串"\Microsoft\Windows\Start Menu\Programs\Startup\NSec.link压缩为111.zip，并保存在C:\ProgramData\Microsoft\文件中，以便之后通过远控交互进行修改文件，从而使木马持久化；最后删除掉H3F11文件夹，“消灭罪证”，使病毒更加隐蔽。至此，母体程序运行结束。

NSec.exe侧加载NFPCore.dll文件，通过对母体释放的kk.txt进行解密、解压缩，并加载到内存。

远控模块首先将进程优先级设置为最高，接着与服务器vip.bzsstw.cn连接并解析指令。在早期的一些病毒样本中，母体释放了kk.log，而不是kk.txt，其在初始化中创建批处理程序保证当前木马程序一直处于运行当中。

在上图中，在“使用插件中的函数”一列中，展示了某些指令在插件中调用的函数接口。此木马已经实现插件化，并实现多种远控功能。组合使用危害更大，比如删除用户浏览器数据信息（cookies等），使得用户在下次登陆时必须再次输入用户名和密码，并通过监控键盘输入和截屏操作，对受害者的个人隐私进行获取。

总结：

尽量不要点击来源不明的邮件和可执行文件；

不要从事博 彩等违法行为；

提高个人安全意识；

电脑上及时安装金山等杀毒软件，对预警的病毒及时清理。

附录

06092437577f00d538a38574ecf456bb

02ff3f0c9af5bc29476856f8c61f4335

9a3d89b6e0927a457ac01fb23505ab6f

fb8052a34dbfba14687ce7be8854edd2

65e768553b2c566b2dec6a9cdde95aec

23412dfbedf25ce434ea02bbfb9ae960

b9811e8adbb334693ecd8553443d3b91

2ca5e1effc55b48e4fa19b4d119da4e6

c5fabe2eba9bab8c23598ee2f4a0ecad

c3b2e91531bee2f8f796fe61af01ea14

50bec172eb2e6b2890d08da33110098b

340ecfc644f72bb33d980d2413909010

d0e86e44ba3beb1d4420d3b4ac4c54c8

f041ce7c84973b978a7f1f2f4de50553