执行过程

首先会在该目录下生成一个同名文件并运行

然后会在这个目录下释放Bitchremote.dll和一组文件，并执行该目录下的activeISO

启动的ActiveISO会在这个目录产生除上面的Bitchremote.dll的那一组文件。

分析

通过火绒剑抓取到的行为中，包含了大量的注册表读取、文件创建、加载dll操作，真让我觉得可疑的就是读取 jri 和 yodpxub 这两个文件了。

在readfile下断点，直到断在读取yodpxub时，发现了它的内容

往后运行，发现这部分数据变成了前半部分看起来很像指令、后半部分有http、png这些特征的数据

此时ip是在qt5core.dll中的，看一下这个dll的信息，签名是无效的

并且它的data段里存在被修改了的痕迹

将它dump出来，分析就用IDAmcp了，因为我下了执行、访问断点，都没有断下来。。