Win10數(shù)字激活軟件被黑客植入病毒 韓國網(wǎng)民受傷最重

近日安全研究公司ASEC發(fā)現(xiàn)網(wǎng)上出現(xiàn)一種新的惡意軟件大肆傳播，它會偽裝成以Windows激活工具的形式，但實際上是BitRAT遠(yuǎn)程訪問木馬。

ASEC發(fā)現(xiàn)這種木馬主要是通過Webhards分發(fā)(Webhards是韓國的在線文件共享服務(wù))，但也會有通過其他渠道傳播的風(fēng)險。ASEC認(rèn)為目前受害者主要是韓國網(wǎng)民，其他地區(qū)傳播的不大。

值得一提的是，雖然破解和盜版軟件通常被報毒，但許多人往往不會認(rèn)真對待此類警告，而且部分用戶需要Windows激活工具，可能在某些情況下就導(dǎo)致了這一問題。

ASEC解釋說，下載的zip文件“W10DigitalActivation.exe”雖然帶有正版 Windows 激活文件，但也確實包含惡意文件?！癢10DigitalActivation”msi 文件顯然是真實的，而另一個“W10DigitalActivation_Temp”文件卻是惡意軟件。當(dāng)毫無戒心的用戶運行壓縮包中的文件時，真正的激活工具和惡意軟件會同時執(zhí)行，從而讓用戶誤以為 Windows 激活工具是真的，所以這個文件沒有威脅。

當(dāng)你運行木馬后，W10DigitalActivation_Temp.exe會通過命令和控制 (C&C) 服務(wù)器下載其他惡意文件，并通過PowerShell將它們傳遞到Windows啟動程序文件夾中。

最后，BitRAT 會為你在% temp%文件夾內(nèi)安裝“Software_Reporter_Tool.exe”文件，從而實現(xiàn)在Windows Defender中添加Startup文件夾的排除路徑和BitRAT的排除過程。