近期，火绒威胁情报中心监测到伪装成有道翻译安装包的样本存在恶意行为，火绒安全工程师第一时间提取样本进行分析。分析中发现该样本使用白加黑、反射加载 DLL 进行免杀，最终下载后门代码实现对受害者主机的控制。同时，它还会绕过 UAC 实现无弹窗执行，并存在创建服务设置自启动进行持久化驻留等行为。目前，火绒安全产品可对上述病毒进行拦截查杀，请广大用户及时更新病毒库以提高防御能力。

                                        火绒查杀图

根据文件属性可以看出，该样本没有数字签名，而真实安装包含有数字签名：

                                                                                          文件属性对比

样本执行流程如下所示：

详情请见：https://mp.weixin.qq.com/s/ZsZx2e9mN4jcfNBebrqW0w