Backdoor.Win64.COBEACON.ZCLG 惡意病毒

該後門程式執行來自遠端惡意使用者的以下命令：
連接和斷開到命名管道
升級權限
執行任意指令
模仿tokens
將程式碼注入進程
管理目錄（建立、刪除、設定目錄）
管理文件（清單、建立、刪除、修改、重新命名、複製）
管理流程（列出、建立、終止）
列出驅動器資訊
使用/清除 Kerberos 票證

此後門收集以下數據：
使用者名稱
電腦名稱
作業系統版本
載入樣本的可執行檔

此後門需要以下附加組件才能正常運作：
%windows%\ assembly\msco.conf → 偵測為Backdoor.Win64.COBEACON.ZCLG.enc

它執行以下操作：
此範例需要位於 %windows%\Assembly 目錄中，且檔案名稱為「mscorsvc.dll」才能正確執行。
它由普通檔案 Mscorsvw.exe 載入，該檔案是 Windows 的一個元件，也稱為 .NET Framework Optimization Service。
需要作為服務執行。