电脑uac关闭了以后用管理员权限打开

近期，火绒安全情报中心发现一款伪装成代理工具Clash的程序在网络上流传。该程序的官方网站模仿Clash的下载页面，诱骗用户下载恶意软件。安装后，该恶意软件会进行C2通信并植入持久化后门，窃取敏感信息。经过深入分析，发现这款恶意软件是由易语言编写的木马程序，其开发者提供私人定务，支持黑灰产活动。在此提醒广大用户，务必从官方或可信赖的渠道下载软件，以免账号被盗或数据。目前，火绒安全产品已可拦截查杀该病毒，建议用户及时更新病毒库以提高防御能力。

以下是关于Clash的详细介绍及病毒分析：

一、样本分析

Clash是一款开源的跨平台代理客户端，主要用于网络代理、流量转发及网络规则管理。攻击者通过Clash进行钓鱼攻击。其页面包括Clash介绍、使用方法、注意事项、规则编写等，已致使部分用户中招，导致信息。以下是的网站链接：clash-/。

病毒分析：

病毒首先通过增加体积（膨胀至100MB+以绕过云查杀上传）并签名来欺骗用户。为确保恶意程序能在不同环境下顺利执行，病毒还携带了运行库。

病毒样本首先检测是否处于调试环境，若未在调试器中，则继续执行主函数。接着，样本跳转至虚拟化代码段执行，采用代码虚拟化技术（VMProtect指令混淆）对恶意载荷进行解密。

解压恶意载荷后，样本利用LoadLibraryA动态加载已解密的Etools.dll1，并调用其导出函数WhiteTool执意代码。

Etools.dll1由易语言编写，经特定的黑月编译器优化处理后加壳。该病毒通过增大文件体积来绕过云查杀系统的检测并实现上传，同时虚假签名掩盖其恶意行为。

深入分析该DLL，发现其主要通过自定义派遣函数执意代码。根据进程名称决定执行的功能，释放不同的病毒文件。

在释放病毒阶段，依据进程名称执行相应的功能，释放不同的病毒文件。之后，病毒运行Clash for Windows.exe，执行WinRAR自解压的正常Clash安装程序，完成钓鱼过程。

由于病毒采用了VMProtect虚拟化混淆处理，因此采用Unicorn进行指令模拟分析。病毒还会释放多个文件到公共文档目录，如audidog.exe、TASKMAN.exe等。

随后，病毒利用AppCompatFlags的兼容性标志改变UAC行为，绕过权限提升提示。之后释放的文件会通过线程注入的方式执意代码，实现后门功能。

后门功能主要包括构造路径并释放病毒文件、设置路径、资源或注册表，以及执意代码等。病毒还会通过注入svcoth.exe实现剪贴板功能。

通过溯源分析发现，该病毒与易语言提供的免杀支持有关。易语言开发者通过代码体积膨胀和加壳的方式逃避杀软检测，并以“卡密”验证的形式公开售卖，同时在B站等平台进行推广。通过对相关QQ号、手机号等信息进行溯源，发现该开发者为黑灰产提供定制化技术支持。

二、附录

C&C服务器信息：HASH值待补充。