国家计算机病毒应急处理中心通过对互联网的监测，发现一款伪装成Windows系统帮助文件的远控木马，攻击者通过远控木马下发挖矿程序到被害主机，占用主机资源进行挖矿。服务DLL文件Remote.hlp是一个伪装成Windows帮助文件的后门程序，仅从字符串分析，就能够得到许多功能信息，而此次事件捕获的域名所关联的后门程序中，均存在一条“TheCodeMadeByZPCCZQ”标识字符串。由此可以推断，这些后门程序均来源于同一款远控生成器，并且通过对后门dll的字符串分析，其中有很多中文描述的控制操作，所以可以确认是一款汉化的远控程序。除了持久化驻留的后门程序，在被害主机中存在通过后门投放的挖矿程序，伪装成银行图标，占用主机资源进行挖矿。该样本中服务名称为.Net CLR，研究员排查过程中发现有过“Ias”、“FastUserSwitchingCompatibilty”，这些服务指向的DLL程序都是母体释放的Remote.hlp。建议用户不要安装未知来源的软件，在正规网站下载软件。同时提高安全意识，及时为操作系统、常用软件等打好补丁，以免受到该恶意程序的危害。