起因是吾爱论坛一个人转飘云阁的工具，下面详细说，分开发以防和谐

这个工具是所谓的kms，号称vip版，无广告。
来自飘云阁，被原帖的楼主转到吾爱和无忧论坛

然后两个论坛都有人发帖说有问题，并附上了查毒链接，于是我也跟进分析（大晚上闲着没事干）

File: E:\microkms vip.zip
Size: 6498831 bytes
MD5: 416174CA973E9138AE407804F59ADEE8
File: E:\microkms vip.exe
Size: 6851378 bytes
MD5: 404D398FB5B5169B8B558A1F5112490D
先发一下这个文件的md5。因为我哈勃分析分析的是他的压缩包，但查毒是解压出来的exe。原帖楼主对压缩包查毒，virscan只有2个引擎报毒，但解压后7个引擎报毒

？？？

哈勃与查毒结果。链接可能度娘会吞

----------------------------------------------------------行为检测----------------------------------------
1、虚拟机探测，以及注册表中的虚拟机检测
2、加载驱动tfsfltdrv.sys
3、在system32创建特殊属性文件夹Ocular
4、创建系统服务，加载winrdgv3.exe、tfsfltdrv.sys这两个文件。
经过百度搜索得知，winrdgv3.exe、tfsfltdrv.sys这两个文件是ip-guard这款监控软件的模块。

前排
吃瓜，前排小板凳～

这不是常识吗，不然人家吃饱了给你破解

使用7zip右键#打开可以看到里面的exe。一模一样的程序，只有600k，那剩下的5m多是干嘛的呢

对提取出来的1.exe进行分析，就没有什么可疑行为了，但是魔盾安全分析依然给了他高危的评价。

结论：这个所谓的kms，实际上里面包含了另一个600k的kms。其他的程序会释放几个exe和sys文件，并加载系统启动项、驱动程序、服务。搜索得知这几个文件是一款监控软件的文件。

请给萌新个没挂马的win激活工具吧

由于我是晚上10点在无忧启动论坛发现这个帖子的。可能版主都睡了，还没有反应。
吾爱我发在病毒样本区，版主确认后已经把原帖删封了。
到此基本告一段落，希望原帖的楼主以后转发被人报毒的时候能认真对待
-----------------今日更新内容-----------------
原帖的楼主已经确认，并将帖子删除，并告诫下载的人去杀毒

唉 以后还是装完了淘宝买激活码吧