IT之家 3 月 22 日消息,安全研究公司 ASEC 發現網絡上近期出現了一種新的惡意軟件大肆傳播,它會僞裝成以 Windows 激活工具的形式,但實際上是 BitRAT 遠程訪問木馬。
IT之家了解到,ASEC 發現這種木馬主要是通過 Webhards 分發(Webhards 是韓國的在線文件共享服務),但也會有通過其他渠道傳播的風險。
值得一提的是,雖然破解和盜版軟件通常被報毒,但許多人往往不會認真對待此類警告,而且部分用戶需要 Windows 激活工具,可能在某些情況下就導緻了這一問題。
ASEC 解釋說,下載的 zip 文件“W10DigitalActivation.exe”雖然帶有正版 Windows 激活文件,但也确實包含惡意文件。“W10DigitalActivation”msi 文件顯然是真實的,而另一個“W10DigitalActivation_Temp”文件卻是惡意軟件(見下圖)。
當毫無戒心的用戶運行壓縮包中的文件時,真正的激活工具和惡意軟件會同時執行,從而讓用戶誤以為 Windows 激活工具是真的,所以這個文件沒有威脅。
當你運行木馬後,W10DigitalActivation_Temp.exe 會通過命令和控制 (C&C) 服務器下載其他惡意文件,并通過 PowerShell 将它們傳遞到 Windows 啟動程序文件夾中。
最後,BitRAT 會為你在 % temp% 文件夾内安裝“Software_Reporter_Tool.exe”文件,從而實現在 Windows Defender 中添加了 Startup 文件夾的排除路徑和 BitRAT 的排除過程。
,
zpostcode 
Recruit 
weather 
mreligion 
Yellowpages 
sport 
constellation 
shopping 
name 
game 
directory 
literature 
Word 
tour 
furnish 
Lottery 
tftnews 
lyrics 
News 
digital 
car 
dir 
Edu 
Finance 
