安保人员发现新型恶意软件 文件伪装成 Windows 激活工具并可绕过系统包全
安保钻研公司 ASEC 发现网络上近期产生了一种新的恶意软件大肆流传,它会伪装成以 Windows 激活工具的方式,但实践上是 BitRAT远程访问木马。
IT之家了解到,ASEC 发现这种木马重要是经过 Webhards 散发(Webhards是韩国的在线文件共享服务),但也会有经过其余渠道流传的危险。
值得一提的是,只管破解和盗版软件通常被报毒,但许多人往往不会仔细看待此类正告,而且局部用户须要 Windows激活工具,或许在某些状况下就造成了这一疑问。
ASEC 解释说,下载的 zip 文件“W10DigitalActivation.exe”只管带有正版 Windows激活文件,但也确实蕴含恶意文件。“W10DigitalActivation”msi文件显然是真实的,而另一个“W10DigitalActivation_Temp”文件却是恶意软件(见下图)。
当毫无戒心的用户运转紧缩包中的文件时,真正的激活工具和恶意软件会同时口头,从而让用户误认为 Windows 激活工具是真的,所以这个文件没有要挟。
当你运转木马后,W10DigitalActivation_Temp.exe 会经过命令和控制 (C&C) 主机下载其余恶意文件,并经过PowerShell 将它们传递到 Windows 启动程序言件夹中。
最后,BitRAT 会为你在 % temp% 文件夹内装置“Software_Reporter_Tool.exe”文件,从而实如今 WindowsDefender 中减少了 Startup 文件夹的扫除门路和 BitRAT 的扫除环节。