一、系统目录与隐藏文件夹
MGcc常将核心文件释放到系统关键目录以伪装成合法程序。
- `C:WindowsSystem32`:系统核心文件目录,恶意程序可能伪装成`svchost.exe`、`mshta.exe`等名称相似的进程文件。
- `C:WindowsSysWOW64`:64位系统的32位程序目录,常见`dll`文件或驱动程序隐藏于此。
- 隐藏属性文件夹:通过添加“系统隐藏”属性,例如`C:ProgramData`下的随机命名子文件夹如`C:ProgramDataTempXXX`。
二、用户目录与临时文件夹
为避免系统级权限检测,MGcc也会利用用户目录释放文件:
- `C:Users[用户名]AppDataLocalTemp`:临时文件目录,常释放`*.tmp`、`*.dat`等临时文件,执行后自动删除。
- `C:Users[用户名]AppDataRoaming`:用户漫游目录,可能存放持久化配置文件如`config.ini`或恶意脚本`.vbs`、`.js`。
- `C:Users[用户名]Documents`:文档目录下的伪装文件夹,例如“新建文件夹”“备份”等名称的隐藏子目录。
三、册表相关路径
MGcc会通过册表键值指向释放文件,常见位置包括:
- `HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun`
- `HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun`
这两个启动项中可能存在指向`C:WindowsTasks`或`C:Users[用户名]AppData`下恶意文件的路径。
四、浏览器缓存与下载目录
若通过网页挂马传播,MGcc可能释放到浏览器相关目录:
- 浏览器下载目录:`C:Users[用户名]Downloads`,文件名为`update.exe`、`setup.zip`等诱骗性名称。
- 浏览器缓存:如`C:Users[用户名]AppDataLocalGoogleChromeUser DataDefaultCache`,临时存放恶意载荷。
五、特殊分区与外置存储
部分变种会释放到非系统分区或外接设备,例如:
- `D:`/`E:`等非系统盘:创建隐藏文件夹如`RECYCLER`、`System Volume Information`。
- USB设备:生成`autorun.inf`和恶意可执行文件,通过自动播放机制传播。
MGcc释放文件的路径并非固定,会通过随机文件名、加密文件夹、进程入等方式躲避检测。需结合进程监控、册表分析和文件特征码扫描才能准确定位其释放位置。
二、用户目录与临时文件夹
为避免系统级权限检测,MGcc也会利用用户目录释放文件:
- `C:Users[用户名]AppDataLocalTemp`:临时文件目录,常释放`*.tmp`、`*.dat`等临时文件,执行后自动删除。
- `C:Users[用户名]AppDataRoaming`:用户漫游目录,可能存放持久化配置文件如`config.ini`或恶意脚本`.vbs`、`.js`。
- `C:Users[用户名]Documents`:文档目录下的伪装文件夹,例如“新建文件夹”“备份”等名称的隐藏子目录。
三、册表相关路径
MGcc会通过册表键值指向释放文件,常见位置包括:
- `HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun`
- `HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun`
这两个启动项中可能存在指向`C:WindowsTasks`或`C:Users[用户名]AppData`下恶意文件的路径。
四、浏览器缓存与下载目录
若通过网页挂马传播,MGcc可能释放到浏览器相关目录:
- 浏览器下载目录:`C:Users[用户名]Downloads`,文件名为`update.exe`、`setup.zip`等诱骗性名称。
- 浏览器缓存:如`C:Users[用户名]AppDataLocalGoogleChromeUser DataDefaultCache`,临时存放恶意载荷。
五、特殊分区与外置存储
部分变种会释放到非系统分区或外接设备,例如:
- `D:`/`E:`等非系统盘:创建隐藏文件夹如`RECYCLER`、`System Volume Information`。
- USB设备:生成`autorun.inf`和恶意可执行文件,通过自动播放机制传播。
MGcc释放文件的路径并非固定,会通过随机文件名、加密文件夹、进程入等方式躲避检测。需结合进程监控、册表分析和文件特征码扫描才能准确定位其释放位置。
三、册表相关路径
MGcc会通过册表键值指向释放文件,常见位置包括:
- `HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun`
- `HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun`
这两个启动项中可能存在指向`C:WindowsTasks`或`C:Users[用户名]AppData`下恶意文件的路径。
四、浏览器缓存与下载目录
若通过网页挂马传播,MGcc可能释放到浏览器相关目录:
- 浏览器下载目录:`C:Users[用户名]Downloads`,文件名为`update.exe`、`setup.zip`等诱骗性名称。
- 浏览器缓存:如`C:Users[用户名]AppDataLocalGoogleChromeUser DataDefaultCache`,临时存放恶意载荷。
五、特殊分区与外置存储
部分变种会释放到非系统分区或外接设备,例如:
- `D:`/`E:`等非系统盘:创建隐藏文件夹如`RECYCLER`、`System Volume Information`。
- USB设备:生成`autorun.inf`和恶意可执行文件,通过自动播放机制传播。
MGcc释放文件的路径并非固定,会通过随机文件名、加密文件夹、进程入等方式躲避检测。需结合进程监控、册表分析和文件特征码扫描才能准确定位其释放位置。
- 浏览器下载目录:`C:Users[用户名]Downloads`,文件名为`update.exe`、`setup.zip`等诱骗性名称。
- 浏览器缓存:如`C:Users[用户名]AppDataLocalGoogleChromeUser DataDefaultCache`,临时存放恶意载荷。
五、特殊分区与外置存储 部分变种会释放到非系统分区或外接设备,例如:
- `D:`/`E:`等非系统盘:创建隐藏文件夹如`RECYCLER`、`System Volume Information`。
- USB设备:生成`autorun.inf`和恶意可执行文件,通过自动播放机制传播。 MGcc释放文件的路径并非固定,会通过随机文件名、加密文件夹、进程入等方式躲避检测。需结合进程监控、册表分析和文件特征码扫描才能准确定位其释放位置。