查看: 2101|回复: 7
收起左侧

[安全行业] 安全人员发现新型恶意软件,文件伪装成 Windows 激活工具并可绕过系统保护

[复制链接]
ICzcz
发表于 2022-3-22 11:57:18 | 显示全部楼层 |阅读模式
IT之家 3 月 22 日消息,安全研究公司 ASEC 发现网络上近期出现了一种新的恶意软件大肆传播,它会伪装成以 Windows 激活工具的形式,但实际上是 BitRAT 远程访问木马。

IT之家了解到,ASEC 发现这种木马主要是通过 Webhards 分发(Webhards 是韩国的在线文件共享服务),但也会有通过其他渠道传播的风险。

值得一提的是,虽然破解和盗版软件通常被报毒,但许多人往往不会认真对待此类警告,而且部分用户需要 Windows 激活工具,可能在某些情况下就导致了这一问题。

ASEC 解释说,下载的 zip 文件“W10DigitalActivation.exe”虽然带有正版 Windows 激活文件,但也确实包含恶意文件。“W10DigitalActivation”msi 文件显然是真实的,而另一个“W10DigitalActivation_Temp”文件却是恶意软件(见下图)。

当毫无戒心的用户运行压缩包中的文件时,真正的激活工具和恶意软件会同时执行,从而让用户误以为 Windows 激活工具是真的,所以这个文件没有威胁。

84558142-4d89-4853-a9e3-1c0e5094ad56.jpg

当你运行木马后,W10DigitalActivation_Temp.exe 会通过命令和控制 (C&C) 服务器下载其他恶意文件,并通过 PowerShell 将它们传递到 Windows 启动程序文件夹中。

最后,BitRAT 会为你在 % temp% 文件夹内安装“Software_Reporter_Tool.exe”文件,从而实现在 Windows Defender 中添加了 Startup 文件夹的排除路径和 BitRAT 的排除过程。

superax
发表于 2022-3-22 12:14:37 | 显示全部楼层
HEU不会吧
will52089
发表于 2022-3-22 12:37:23 | 显示全部楼层
赶紧自查一下
huangsijun17
发表于 2022-3-22 13:17:30 | 显示全部楼层

不会。知彼而知己大佬出的东西,还是有保证的。
wwwab
发表于 2022-3-22 13:48:22 | 显示全部楼层
看来又有活儿要干喽~
你开心就好
发表于 2022-3-22 15:16:44 | 显示全部楼层
编辑
你开心就好
发表于 2022-3-22 15:18:07 | 显示全部楼层
wwwab 发表于 2022-3-22 13:48
看来又有活儿要干喽~

意思是说找样本的事情 交给你了??
简单的回忆
发表于 2022-3-23 09:24:16 | 显示全部楼层
很多软件原作者发布的并没有问题。都是转载过程中被别有用心的人添加了恶意程序。而小白用户们又无法分辨,只以为某某大佬的作品肯定没问题,但没细想,你不是在源发布地址下载的就有可能出问题。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-23 23:45 , Processed in 0.142729 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表