ESET中自带的白利用
习惯每天早上开机后,清理一下垃圾文件,以及检查开机后的进程列表,清理完垃圾,我在CCleaner启动项管理功能下面,发现了一个ESET杀软的启动项
"C:\Program Files\ESET\ESET Security\ecmds.exe" /launch /hide /proxy
感觉挺有意思,就查看该文件所在目录,结果一眼瞄到了一个callmsi.exe 的文件,运行后,和系统的msiexec.exe 功能一模一样。
msiexec.exe 最近经常被当作系统白利用来远程下载执行payload
而这个ESET杀软自带的callmsi.exe 其实就是个wrapper,包裹了一个创建进程的,并会调用系统的msiexec文件
看文件属性: ESET MSI Launcher
正规签名:
可被用来执行白利用~ 你懂的