Backdoor.Win64.URSNIF.THIBGBD

该后门程序通过两种途径进入系统：一是被其他恶意软件作为文件释放到系统中，二是用户访问恶意网站时在不知情的情况下下载的文件。

它执行来自远程恶意用户的命令，从而严重威胁受感染系统的安全。 该程序会连接至网站进行信息收发。 然而截至本文撰写时，上述网站均已无法访问。

Arrival Details

该后门程序通过两种途径进入系统：一是被其他恶意软件作为文件释放到系统中，二是用户访问恶意网站时在不知情的情况下下载的文件。

Installation

该后门程序会添加以下互斥量，以确保在任何时候仅运行其一个副本：

• Global\{Two Registry Key Names Found from HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control}

Backdoor Routine

该后门程序会执行远程恶意用户发出的以下命令：

• Execute arbitrary commands

它会连接以下网站以发送和接收信息：

• https://{BLOCKED}xt.top/index.html

然而截至本文撰写时，上述网站均已无法访问。

Information Theft

该后门程序会收集以下数据：

• Checksum of username
• 创建时间的校验和 %System Root%\pagefile.sys or %System Root%\hiberfil.sys
• 恶意软件文件的校验和 name
• 恶意软件文件的校验和

(Note: %System Root% 此处指Windows系统根目录，其通常位于 C:\ 适用于所有Windows操作系统版本。）

其他信息

该后门程序会执行以下操作：

• It generates its mutex using the registry keys it gathered from from HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control.