时间戳

首页 > 解决方案 > Windows Defender 将我的程序识别为多个木马(“Wacatac”和“Persistence”) - 可能是由覆盖注册表项引起的

windows - Windows Defender 将我的程序识别为多个木马(“Wacatac”和“Persistence”) - 可能是由覆盖注册表项引起的

问题描述

2个木马:

Wacatac.G!ml

瓦卡塔克

持久性.G!ml

坚持

这是我认为导致问题的代码。目的是创建/修改注册表项以使程序在启动时运行:

void SoftwareDlg::SetSURegValue() {
    string regSubKey("SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\");
    string regValueName = "Software";
    string regValue = "D:\\Users\\Skew\\Documents\\repos\\Software\\Debug\\Software.exe"

    try
    {
        size_t bufferSize = 0xFFF;
        auto cbData = static_cast<DWORD>(regValue.size() * sizeof(char));
        HKEY hKey;
        DWORD position;
        
        auto rc = RegCreateKeyEx(HKEY_CURRENT_USER, regSubKey.c_str(), 0, NULL, REG_OPTION_NON_VOLATILE, KEY_ALL_ACCESS, NULL, &hKey, &position);
        if (position == REG_OPENED_EXISTING_KEY) {
            DEBUG_PRINT("Key already exists & has been opened.")
        }
        else if (position == REG_CREATED_NEW_KEY) {
            DEBUG_PRINT("Created new key.")
        }
        else {
            DEBUG_PRINT("ERROR: Key does not exist, and a new key was not created.")
        }

        if (rc == ERROR_SUCCESS) {
            auto rc = RegSetValueEx(hKey, regValueName.c_str(), 0, REG_SZ, (BYTE*)regValue.data(), cbData);
            if (rc != ERROR_SUCCESS)
            {
                throw std::runtime_error("Windows system error code: " + to_string(rc));
            }
        }
        else {
            DEBUG_PRINT("Error opening key.\n")
        }
    }
    catch (std::exception& e)
    {
        DEBUG_PRINT(e.what())
    }
}

在我尝试解决这个问题的过程中,我开始测试创建/修改密钥的不同方案,但是当我意识到 Windows Defender 似乎停止将每次运行记录为“新威胁”并且似乎将它们作为一个单一的记录一起记录时,我的结果变得不确定我猜是“永久威胁”?不太确定。

话虽如此,当我最初创建密钥或打开它并为其分配相同的值时,Windows Defender 似乎没有记录威胁,但当我将程序移动到新目录时似乎确实记录了威胁(并且程序会尝试将“软件”注册表值的值更改为新的 EXE 位置)。

这给我留下了几个问题:

  1. 我的程序是否通过一些编码错误模仿了 2 个木马的行为?
  2. 或者我的机器上是否有一些潜在的、机会主义的恶意软件正在等待利用?
  3. 在尝试更改现有值之前是否需要删除它?的行为RegCreateKeyEx让我相信事实并非如此。
  4. 在没有提升权限的情况下写入注册表是禁忌吗?如果是这样...为什么我的机器让我这样做?
  5. 我在RegSetValueEx()函数中做了一些不正确的类型转换吗?

如果 #4 是这种情况,我想我真的很惊讶我收到了 Windows Defender 的通知,而不是 Visual Studio 或 UAC 提示。

编辑 1:VirusTotal.com 上没有引擎将该文件检测为恶意软件。

标签: windowswinapivisual-c++mfc

解决方案

推荐阅读