我们最近收到了一些客户报告，反映Avast防病毒软体在他们的系统中消失的情况，例如来自的以下范例。

来自Reddit

我们调查了这些报告以及其他类似的情况，发现了一种新的恶意程式，称为“”。这个名称的由来部分是因为一些可能的迹象表明恶意程式的作者可能来自捷克。Crackonosh与非法破解的流行软体一起分发，并搜索和禁用许多流行的防病毒程式，作为其反侦测和防取证的策略之一。

在本帖子中，我们分析了Crackonosh。我们首先探讨Crackonosh是如何安装的。在分析中，我们发现它会丢弃三个关键档案winrmsrv.exe、winscomrssrv.dll和winlogui.exe，我们在下面进行了详细分析。我们还包括关于它如何禁用WindowsDefender和WindowsUpdate的步骤，以及抗侦测和反取证的行动。我们还包含了如何移除Crackonosh的信息。最后，我们包含了Crackonosh的损坏指标。

自2020年12月以来的被攻击数量，共有超过222,000台独特设备。

自2020年12月以来感染Crackonosh的用户数量。在5月份，每天仍有约千次的攻击。

Crackonosh的主要目标是安装XMRig这种加密货币挖矿工具，从所有找到的钱包中，我们获得了一个能够查到统计数据的钱包。该矿池网站显示总共支付了9000XMR，按当前价格计算，超过$2,000,000 USD。

来自xmrpool.eu的统计数据

来自MoneroHash的统计数据

Crackonosh的安装过程

下面的图表描绘了整个Crackonosh安装过程。

安装图

首先，受害者运行破解软体的安装程序。
安装程序运行maintenance.vbs
然后maintenance.vbs开始使用serviceinstaller.msi进行安装。
serviceinstaller.msi注册并运行serviceinstaller.exe，这是主要的恶意程式可执行文件。
serviceinstaller.exe丢下StartupCheckLibrary.DLL。
StartupCheckLibrary.DLL下载并执行wksprtcli.dll。
wksprtcli.dll解压出更新的winlogui.exe，并丢下包含的winscomrssrv.dll和winrmsrv.exe，并进行解密并放置在指定资料夹中。

自Crackonosh的原始编译日期以来，我们识别出30个不同版本的serviceinstaller.exe，其版本时间从2018年1月31日至2020年11月23日。很容易发现serviceinstaller.exe是从maintenance.vbs创建的登录键启动的。

唯一的线索显示在maintenance.vbs创建这个登录键之前发生了什么，以及这些档案是如何出现在受害者的电脑上的，是在maintenance.vbs中删除InstallWinSAT任务。追查的结果让我们揭示了包含Crackonosh解包细节的卸载日志，这是在使用破解软体安装时产生的。

在卸载日志中发现了以下字符串：

{sys}\7z.exe
-ir!*.*? e -pflk45DFTBplsd -y "{app}\base_cfg3.scs" -o{sys}
-ir!*.*? e -pflk45DFTBplsd -y "{app}\base_cfg4.scs" -o{localappdata}\Programs\Common
/Create /SC ONLOGON /TN "Microsoft\Windows\Maintenance\InstallWinSAT" /TR Maintenance.vbs /RL HIGHEST /F
/Create /SC ONLOGON /TN "Microsoft\Windows\Application Experience\StartupCheckLibrary" /TR StartupCheck.vbs /RL HIGHEST /F

这些显示Crackonosh被打包在一个受密码保护的档案中，并在安装过程中被解压出来。我们找到的受感染安装程序如下：

安装程序执行以下脚本。如果它认为安装恶意程式是“安全的”，则会将Crackonosh安装到%SystemRoot%\system32\，并将一个配置档案安装到%localappdata%\Programs\Common，并在Windows任务计划程序中创建任务InstallWinSAT来启动maintenance.vbs，以及任务StartupCheckLibrary来启动StartupcheckLibrary.vbs。否则，它什么也不做。

重建的Crackonosh Inno Setup安装程序脚本

安装脚本

Maintenance.vbs的分析

如前所述，Crackonosh安装程序会在Windows任务管理器中注册maintenance.vbs脚本，并设置其在系统启动时运行。Maintenance.vbs会创建一个计数器，用于计算系统启动次数，直到达到第7或第10次系统启动，具体取决于版本。之后，Maintenance.vbs运行serviceinstaller.msi，禁用受影响系统的休眠模式，并设置系统在下次重启时启动安全模式。为了掩盖痕迹，它还会删除serviceinstaller.msi和maintenance.vbs。

以下是maintenance.vbs脚本内容：

Maintenance.vbs

serviceinstaller.msi并不会操纵系统上的任何档案，它只会修改注册表以将serviceinstaller.exe（即主要的恶意程式可执行文件）注册为服务并允许其在安全模式下运行。下面是serviceinstaller.msi所做的登录项。

MSIViewer的服务安装程序截图

使用安全模式禁用Windows Defender和防病毒软体

在安全模式下，防病毒软体无法运作。这使得恶意的serviceinstaller.exe能够轻松禁用并删除WindowsDefender。它还使用WQL查询所有安装的防病毒软体SELECT * FROMAntiVirusProduct。如果找到以下任一防病毒产品，它会使用命令rd <AV directory> /s /q来删除它们，其中是特定防病毒产品所使用的默认目录名称。

Adaware
Bitdefender
Escan
F-secure
Kaspersky
Mcafee（仅扫描器）
Norton
Panda

它有一个安装文件夹的名称，然后删除%PUBLIC%\Desktop\。

较旧版本的serviceinstaller.exe使用pathToSignedProductExe来获取包含的资料夹。然后该资料夹会被删除。这样Crackonosh就能删除旧版本的Avast或当前版本（若自我防卫已关闭）。

此外，它还会将StartupCheckLibrary.dll和winlogui.exe丢弃到%SystemRoot%\system32\资料夹中。

在旧版本的serviceinstaller.exe中，它会丢下windfn.exe，该程式负责丢下和执行winlogui.exe。winlogui.exe包含了加密货币挖矿工具XMRig，而在新版本中，serviceinstaller则丢下winlogui，并创建以下登录项：

这会让感染的电脑在每次启动时连接到挖矿池。

禁用Windows Defender和Windows Update

它删除以下登录项以阻止Windows Defender并关闭自动更新。

serviceinstaller.exe执行的命令

在Windows Defender的位置，它安装自己的MSASCuiL.exe，这会将Windows安全性图标放到系统托盘中。

该图标是正确的

已删除的Defender

搜索配置档案

查看winrmsrv.exe（aaf2770f78a3d3ec237ca14e0cb20f4a05273ead04169342ddb989431c537e83）的行为显示其API调用中的一些有趣情况。在超过一千次的FindFirstFileExW和FindNextFileExW调用中，我们查看了它正在寻找的档案，但遗憾的是，恶意程式的作者将档案名称隐藏在SHA256哈希后。

在此图片中，您可以看到函数正在根据档案名的哈希从winrmsrv.exe中搜索档案。一些节点集成在一起，便于阅读。

这一技术在Crackonosh的其他部分中也被使用，有时是SHA1。

以下是搜索的哈希及其对应名称和路径。在UserAccountControlSettingsDevice.dat的情况下，搜索也在所有子资料夹中递归进行。

在CSIDL_SYSTEM中
档案7B296FC0-376B-497d-B013-58F4D9633A22-5P-1.B5841A4C-A289-439d-8115-50AB69CD450
- SHA1: F3764EC8078B4524428A8FC8119946F8E8D99A27
- SHA256: 86CC68FBF440D4C61EEC18B08E817BB2C0C52B307E673AE3FFB91ED6E129B273
档案7B296FC0-376B-497d-B013-58F4D9633A22-5P-1.B5841A4C-A289-439d-8115-50AB69CD450B
- SHA1: 1063489F4BDD043F72F1BED6FA03086AD1D1DE20
- SHA256: 1A57A37EB4CD23813A25C131F3C6872ED175ABB6F1525F2FE15CFF4C077D5DF7
在CSIDL_Profile中，实际位置是%localappdata%\Programs\Common
档案UserAccountControlSettingsDevice.dat
- SHA1: B53B0887B5FD97E3247D7D88D4369BFC449585C5
- SHA256: 7BB5328FB53B5CD59046580C3756F736688CD298FE8846169F3C75F3526D3DA5

这些档案包含用XOR密码加密的配置资料，其密钥在可执行档中。

解密后我们找到了其他恶意程式的名称、一部分URLs、RSA公钥、用于winrmsrv.exe的通讯金钥和XMRig的命令。RSA密钥长达8192和8912位。这些密钥用于验证每一个由Crackonosh下载的档案（通过StartupCheckLibrary.dll、winrmsrv.exe、winscomrssrv.dll）。

这里我们找到了wksprtcli.dll的首个标记。

StartupCheckLibrary.dll和wksprtcli.dll的下载

StartupCheckLibrary.dll是Crackonosh作者如何在受感染机器上下载Crackonosh更新的方式。StartupCheckLibrary.dll查询first[.]universalwebsolutions[.]info和second[.]universalwebsolutions[.]info等域名的TXTDNS纪录（或者其他的TLD，如getnewupdatesdownload[.]net和webpublicservices[.]org）。有一些TXTDNS记录如ajdbficadbbfC@@@FEpHw7Hn33。从前十二个字母中，它计算出IP地址，如所示。接下来的五个字符是通过加16加密的端口数字。这使我们能够通过Socket下载wksprtcli.dll。最后八个字符是版本号。下载的资料会通过存储在配置档案中的公钥进行验证。

IP地址解密，来自IDA的截图

wksprtcli.dll（导出DllGetClassObjectMain）用来更新早期版本的Crackonosh。我们找到的最早的wksprtcli.dll版本仅检查winlogui.exe的不存在。然后它会删除diskdriver.exe（是之前的加密货币挖矿工具）和自启动的登记项。最新版本则具备运行的时机，会删除旧版本的winlogui.exe或diskdriver.exe，并丢下新的winlogui.exe版本。它会丢下新的配置档案，并安装winrmsrv.exe和winscomrssrv.dll。它还更改将winlogui.exe从登录HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run启动的方式，转变为在用户登录时安排的任务。

由wksprtcli.dll创建的Windows任务计划程序中的任务

最后，它禁止了休眠模式和Windows Defender。

wksprtcli.dll也检查电脑时间。原因可能是不覆盖更新版本，并使动态分析变得更加困难。它还写明了截止日期，交换后可以停止winlogui任务，以便能够替换档案。

| 档案 | 编译时间 | 时间戳1 | 时间戳2 | |—|—|—|—| | 5C8B… (2020-11-20) | 2019-12-01 | 2023-12-30 | | D9EE… (2019-11-24) | 2019-12-01 | 2020-12-06 | | 194A… (2019-11-24) | 2019-03-09 | – | | FA87… (2019-03-22) | 使用winlogui大小取代 | 2019-11-02 | | C234… (2019-02-24) | 2019-03-09 | 2019-11-02 | | A2D0… (2018-12-27) | – | – | | D3DD… (2018-10-13) | – | – |

硬编码的时间戳，

winrmsrv.exe的分析

winrmsrv.exe负责感染机器的P2P连接。它交换版本信息，并能够下载Crackonosh的新版本。我们没有找到任何版本高于0的证据，因此无法知道传输了哪些文件。

winrmsrv.exe搜索互联网连接。如果成功，它以以下方式推算出三个不同的端口。

首先，在配置文件中，定义了偏移量（49863）和范围（33575）。对于每个端口，从当前距离Unix纪元（）的天数和配置文件中的10字元计算出SHA-256。然后，根据偏移量加上SHA的首个字，除以范围取余数（偏移量
+（SHA的2个字节 % 范围））设置每个端口。

前两个端口用于进入的TCP连接。最后一个用来监听进入的UDP。

获取端口，来自IDA的截图

接下来，winrmsrv.exe开始以UDP数据包的形式向随机IP地址发送版本和时间戳，使用第三个端口（大约每秒10个IP）。数据包用随机字节延长（以随机长度）并用维吉尼亚密码加密。

UDP数据包

最后，如果winrmsrv.exe找到感染了Crackonosh的IP地址，便存储该IP地址、控制版本并开始升级旧版为新版。更新资料用私钥签名。在下一次启动时，winrmsrv.exe会连接所有存储的IP地址以检查版本，然后再尝试新的。它会在通讯后封锁所有IP地址，封锁4小时，除非它们未遵循协议，则封锁为永久（直到重启）。

我们修改了masscan以检查此协议。它显示互联网上约有370个受感染的IP地址（IPv4）。

| A | UDP Hello | B | |—|—|—| | 从随机端口向端口3发送UDP Packet | -> | 解密，检查时间戳（在最近15秒内）和版本是否匹配，封锁IP地址4小时 | | 解密，检查时间戳，版本相同：不进行任何操作 | B的版本较低：TCP发送 | B的版本较高：TCP接收 | <- | 向A的端口发送UDP Crackonosh Hello Packet | | A | TCP发送 | B | | 连接到端口2 | -> | 检查A的通讯是否预期（最近五秒内的成功UDP Hello） | | 发送加密的数据包 | -> | 解码数据，验证、保存 | | A | TCP接收 | B | | 连接到端口1 | -> | 检查A的通讯是否预期（最近五秒内的成功UDP Hello） | | 解码数据，验证、保存 | <- | 发送加密的数据包 | | 通讯图

UDP数据包的加密方案

TCP数据包的加密方案

值得注意的是，上述TCP加密/解密实现存在错误。在红色箭头位置应额外计算一个SHA256，与初始化向量进行XOR运算。当然，应使用SHA结果源取代源。

winscomrssrv.dll的分析

这为下一个阶段做准备。它以与StartupCheckLibrary.dll相同的方式使用TXT DNS记录。它试著在以下网址上解码txt记录：

fgh[.]roboticseldomfutures[.]info
anter[.]roboticseldomfutures[.]info
any[.]tshirtcheapbusiness[.]net
lef[.]loadtubevideos[.]com
levi[.]loadtubevideos[.]com
gof[.]planetgoodimages[.]info
dus[.]bridgetowncityphotos[.]org
ofl[.]bridgetowncityphotos[.]org
duo[.]motortestingpublic[.]com
asw[.]animegogofilms[.]info
wc[.]animegogofilms[.]info
enu[.]andromediacenter[.]net
dnn[.]duckduckanimesdownload[.]net
vfog[.]duckduckanimesdownload[.]net
sto[.]genomdevelsites[.]org
sc[.]stocktradingservices[.]org
ali[.]stocktradingservices[.]org
fgo[.]darestopedunno[.]com
dvd[.]computerpartservices[.]info
efco[.]computerpartservices[.]info
plo[.]antropoledia[.]info
lp[.]junglewearshirts[.]net
um[.]junglewearshirts[.]net
fri[.]rainbowobservehome[.]net
internal[.]videoservicesxvid[.]com
daci[.]videoservicesxvid[.]com
dow[.]moonexploringfromhome[.]info
net[.]todayaniversarygifts[.]info
sego[.]todayaniversarygifts[.]info
pol[.]motorcyclesonthehighway[.]com
any[.]andycopyprinter[.]net
onl[.]andycopyprinter[.]net
cvh[.]cheapjewelleryathome[.]info
df[.]dvdstoreshopper[.]org
efr[.]dvdstoreshopper[.]org
Sdf[.]expensivecarshomerepair[.]com

这些档案似乎还没有出现，但我们知道应该是以下档案名称：

C:\WINDOWS\System32\wrsrvrcomd0.dll、C:\WINDOWS\System32\winupdtemp_0.dat和C:\WINDOWS\System32\winuptddm0。

反侦测和反取证

如前所述，Crackonosh采取特定行动以躲避安全软体和分析。

具体而言，它采取以下行动以逃避和禁用安全软件：

在安全模式下删除防病毒软体
停止Windows Update
用绿色勾选系统托盘图标替代Windows安全性
使用不以DllMain作为主可执行程序运行的库（由rundll32.exe）而是通过其他导出函数启动的库。
serviceinstaller检查它是否在安全模式下运行

为了保护自己不被分析，它采取以下行动以判断是否在虚拟机中运行：

检查注册表键：
SOFTWARE\VMware, Inc
SOFTWARE\Microsoft\Virtual Machine\Guest\Parameters
SOFTWARE\Oracle\VirtualBox Guest Additions
测试计算机的时间是否在合理范围内，例如在恶意软体创建后且在2023年之前（wksprtcli.dll）

此外，如前所述，它延迟运行以更好地隐藏自己。我们发现特定安装程序使用了硬编码的日期和时间进行延迟，如下所示。

| 安装程式的SHA | 安装程式在以下时间之前不会执行 | |—|—| | 9EC3DE9BB9462821B5D034D43A9A5DE0715FF741E0C171ADFD7697134B936FA3 | 2018-06-10 13:08:20 | | 8C52E5CC07710BF7F8B51B075D9F25CD2ECE58FD11D2944C6AB9BF62B7FBFA05 | 2018-06-19 14:06:37 | | 93A3B50069C463B1158A9BB3A8E3EDF9767E8F412C1140903B9FE674D81E32F0 | 2018-07-04 17:33:20 | | 6A3C8A3CA0376E295A2A9005DFBA0EB55D37D5B7BF8FCF108F4FFF7778F47584 | 2018-07-10 15:35:57 | | 4B01A9C1C7F0AF74AA1DA11F8BB3FC8ECC3719C2C6F4AD820B31108923AC7B71 | 2018-07-25 13:56:35 | | 65F39206FE7B706DED5D7A2DB74E900D4FAE539421C3167233139B5B5E125B8A | 2018-08-03 15:50:40 | | C6817D6AFECDB89485887C0EE2B7AC84E4180323284E53994EF70B89C77768E1 | 2018-08-14 12:36:30 | | 7F836B445D979870172FA108A47BA953B0C02D2076CAC22A5953EB05A683EDD4 | 2018-09-13 12:29:50 | | D8C092DE1BF9B355E9799105B146BAAB8C77C4449EAD2BDC4A5875769BB3FB8A | 2018-10-01 13:52:22 | | E497EE189E16CAEF7C881C1C311D994AE75695C5087D09051BE59B0F0051A6CF | 2018-10-19 14:15:35 | | D7A9BF98ACA2913699B234219FF8FDAA0F635E5DD3754B23D03D5C3441D94BFB | 2018-11-07 12:47:30 |

安装程式中的硬编码时间戳

我们还找到了一个版本，winrmsrv.exe（5B85CEB558BAADED794E4DB8B8279E2AC42405896B143A63F8A334E6C6BBA3FB），它会解密硬编码在配置档中的时间（例如在5AB27EAB926755620C948E7F7A1FDC957C657AEB285F449A4A32EF8B1ADD92AC中）。如果当前系统时间低于提取的值，winrmsrv.exe将不会运行。

它还采取特定措施来隐藏自己，以防止潜在的电源使用者使用可能揭露其存在的工具。

它使用类似Windows的名称和描述，如winlogui.exe，这是Windows登录GUI应用程序。

它还检查运行中的进程，并将其与下列黑名单进行比较。如果找到指定名字的进程（winrmsrv.exe和winlogui.exe），它会终止自身，并等待下一次启动计算机。

黑名单：
dumpcap.exe
fiddler.exe
frst.exe
frst64.exe
fse2.exe
mbar.exe
messageanalyzer.exe
netmon.exe
networkminer.exe
ollydbg.exe
procdump.exe
procdump64.exe
procexp.exe
procexp64.exe
procmon.exe
procmon64.exe
rawshark.exe
rootkitremover.exe
sdscan.exe
sdwelcome.exe
splunk.exe
splunkd.exe
spyhunter4.exe
taskmgr.exe
tshark.exe
windbg.exe
wireshark-gtk.exe
wireshark.exe
x32dbg.exe
x64dbg.exe
X96dbg.exe

其他档案

除了之前讨论过的，我们的研究还发现了其他档案：

Startupcheck.vbs ：一次性脚本，用于为StartUpCheckLibrary.dll创建Windows任务计划程序任务。
Winlogui.dat、wslogon???.dat：临时档案，将被替换为新版本的winlogui.exe。
Perfdish001.dat：列出winrmsrv.exe找到的受感染IP地址。
Install.msi和Install.vbs：在某些版本中，这些是maintenance.vbs和serviceinstaller.msi之间的步骤，包含在maintenance.vbs中否则存在的命令。

移除Crackonosh

根据我们的分析，完全移除Crackonosh需要以下步骤。

删除以下计划任务（Task Schedulers）

Microsoft\Windows\Maintenance\InstallWinSAT
Microsoft\Windows\Application Experience\StartupCheckLibrary
Microsoft\Windows\WDI\SrvHost\
Microsoft\Windows\Wininet\Winlogui\
Microsoft\Windows\Windows Error Reporting\winrmsrv\

从c:\Windows\system32\删除以下档案：

7B296FC0-376B-497d-B013-58F4D9633A22-5P-1.B5841A4C-A289-439d-8115-50AB69CD450
7B296FC0-376B-497d-B013-58F4D9633A22-5P-1.B5841A4C-A289-439d-8115-50AB69CD450B
diskdriver.exe
maintenance.vbs
serviceinstaller.exe
serviceinstaller.msi
startupcheck.vbs
startupchecklibrary.dll
windfn.exe
winlogui.exe
winrmsrv.exe
winscomrssrv.dll
wksprtcli.dll

从C:\Documents and Settings\All Users\Local Settings\ApplicationData\Programs\Common (%localappdata%\Programs\Common)删除以下档案：

UserAccountControlSettingsDevice.dat

从C:\Program Files\Windows Defender\删除以下文件：

MSASCuiL.exe

使用regedit.exe删除以下Windows登录键：

HKLM\SOFTWARE\Policies\Microsoft\Windows Defender 中的值 DisableAntiSpyware
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection 中的值 DisableBehaviorMonitoring
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection 中的值 DisableOnAccessProtection
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection 中的值 DisableScanOnRealtimeEnable
HKLM\SOFTWARE\Microsoft\Security Center 中的值 AntiVirusDisableNotify
HKLM\SOFTWARE\Microsoft\Security Center 中的值 FirewallDisableNotify
HKLM\SOFTWARE\Microsoft\Security Center 中的值 UpdatesDisableNotify
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer 中的值 HideSCAHealth
HKLM\SOFTWARE\Microsoft\Windows Defender\Reporting 中的值 DisableEnhancedNotifications
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 中的值 winlogui

还原以下Windows服务的默认设置（注：取决于您的操作系统版本 – 参见
https://www.tenforums.com/tutorials/57567-restore-default-services-
windows-10-a.html）

wuauserv
SecurityHealthService
WinDefend
Sense
MsMpSvc

如果安装了，重新安装Windows Defender和任何第三方安全软体。

错误讯息

在受感染的设备上，有时候会出现关于Maintenance.vbs的以下错误讯息。

类型不匹配：‘CInt’，代码：800A000D

找不到脚本文件

这两者都是Crackonosh安装中的缺陷。

虽然网上有一些来解决这些错误，但我们建议遵循前面章节中的步骤，以确保完全移除Crackonosh的所有痕迹。

结论

Crackonosh通过替换重要的Windows系统档案，自我安装并利用Windows安全模式来削弱系统防御。

此恶意软体进一步保护自己，通过禁用安全软体、操作系统更新，并采用其他反分析技术以防止被发现，这使其难以检测和移除。

总而言之，Crackonosh突显出下载破解软体的风险，并证明这对攻击者来说获利丰厚。Crackonosh自2018年6月以来一直在流传，从全球222,000台受感染系统中为其作者带来超过200万美元的XMR利润。

只要人们继续下载破解软体，这类攻击将对攻击者持续盈利。这里的主要教训是：您确实不能白白得来什么好处，而当您试图盗窃软体时，基本上有人也在试图盗窃您的东西。

损坏指标（IoCs）

完整IoCs列表：
获取TXT DNS纪录的URL列表：
常见档案名称列表：

公钥

—–BEGIN PUBLIC KEY—–
MIIEIjANBgkqhkiG9w0BAQEFAAOCBA8AMIIECgKCBAEA0m9mblXlLhgH/d5WgDw0
2nzOynQvKdkobluX5zFK6ewVkX+3W6Vv2v4CqJ473ti9798Jt9jkDpfEL1yMUDfp
Lp1p4XGVSrTrD16J0Guxx0yzIjyReAzJ8Kazej1z/XGGOtAMZCoLI+TrE4me3SjL
+EXk3pXqyupAgKFiNrlXRj7hbb5vXkeB0MpbV3yJ0ha1OJdAIAwGzQTUsvDWDw00
4sxLfso6CLzR1CKJEH2wT6RVfalnGg6IBwb/fvGewGYECAfnPtEt8TwvzuLsw6NY
BD+tDN

Crackonosh：透过破解软体散播的新型恶意软体 – Avast