IT之家 3 月 22 日消息,安全研究公司 ASEC 發現網絡上近期出現了一種新的惡意軟件大肆傳播,它會僞裝成以 Windows 激活工具的形式,但實際上是 BitRAT 遠程訪問木馬。
IT之家了解到,ASEC 發現這種木馬主要是通過 Webhards 分發(Webhards 是韓國的在線文件共享服務),但也會有通過其他渠道傳播的風險。
值得一提的是,雖然破解和盜版軟件通常被報毒,但許多人往往不會認真對待此類警告,而且部分用戶需要 Windows 激活工具,可能在某些情況下就導緻了這一問題。
ASEC 解釋說,下載的 zip 文件“W10DigitalActivation.exe”雖然帶有正版 Windows 激活文件,但也确實包含惡意文件。“W10DigitalActivation”msi 文件顯然是真實的,而另一個“W10DigitalActivation_Temp”文件卻是惡意軟件(見下圖)。
當毫無戒心的用戶運行壓縮包中的文件時,真正的激活工具和惡意軟件會同時執行,從而讓用戶誤以為 Windows 激活工具是真的,所以這個文件沒有威脅。
當你運行木馬後,W10DigitalActivation_Temp.exe 會通過命令和控制 (C&C) 服務器下載其他惡意文件,并通過 PowerShell 将它們傳遞到 Windows 啟動程序文件夾中。
最後,BitRAT 會為你在 % temp% 文件夾内安裝“Software_Reporter_Tool.exe”文件,從而實現在 Windows Defender 中添加了 Startup 文件夾的排除路徑和 BitRAT 的排除過程。
,更多精彩资讯请关注tft每日頭條,我们将持续为您更新最新资讯!
zpostcode 
Recruit 
weather 
mreligion 
Yellowpages 
sport 
constellation 
shopping 
name 
game 
directory 
literature 
Word 
tour 
furnish 
Lottery 
tftnews 
lyrics 
News 
digital 
car 
dir 
Edu 
Finance 
