安全人员发现新型恶意软件，文件伪装成 Windows 激活工具并可绕过系统保护

ICzcz

IT之家 3 月 22 日消息，安全研究公司 ASEC 发现网络上近期出现了一种新的恶意软件大肆传播，它会伪装成以 Windows 激活工具的形式，但实际上是 BitRAT 远程访问木马。

IT之家了解到，ASEC 发现这种木马主要是通过 Webhards 分发（Webhards 是韩国的在线文件共享服务），但也会有通过其他渠道传播的风险。

值得一提的是，虽然破解和盗版软件通常被报毒，但许多人往往不会认真对待此类警告，而且部分用户需要 Windows 激活工具，可能在某些情况下就导致了这一问题。

ASEC 解释说，下载的 zip 文件“W10DigitalActivation.exe”虽然带有正版 Windows 激活文件，但也确实包含恶意文件。“W10DigitalActivation”msi 文件显然是真实的，而另一个“W10DigitalActivation_Temp”文件却是恶意软件（见下图）。

当毫无戒心的用户运行压缩包中的文件时，真正的激活工具和恶意软件会同时执行，从而让用户误以为 Windows 激活工具是真的，所以这个文件没有威胁。



当你运行木马后，W10DigitalActivation_Temp.exe 会通过命令和控制 (C&C) 服务器下载其他恶意文件，并通过 PowerShell 将它们传递到 Windows 启动程序文件夹中。

最后，BitRAT 会为你在 % temp% 文件夹内安装“Software_Reporter_Tool.exe”文件，从而实现在 Windows Defender 中添加了 Startup 文件夹的排除路径和 BitRAT 的排除过程。

superax

HEU不会吧

will52089

赶紧自查一下

huangsijun17

superax 发表于 2022-3-22 12:14
HEU不会吧

不会。知彼而知己大佬出的东西，还是有保证的。

wwwab

看来又有活儿要干喽~

你开心就好

编辑

你开心就好

wwwab 发表于 2022-3-22 13:48
看来又有活儿要干喽~

意思是说找样本的事情 交给你了？？

简单的回忆

很多软件原作者发布的并没有问题。都是转载过程中被别有用心的人添加了恶意程序。而小白用户们又无法分辨，只以为某某大佬的作品肯定没问题，但没细想，你不是在源发布地址下载的就有可能出问题。