3月22日消息，研究公司ASEC发现网络上安全近期出现了一种新的恶意软件大肆传播，它伪装成以Windows激活工具的形式，但实际上是BitRAT远程访问木马。

IT之家的这种木头文件，主要通过SEC发现的马是Webhard分发（Webhard是韩国共享），但也有其他传播服务。

值得一提的是，破解和盗版软件通常会被报毒，但很多人确实不会出现这样的警告，而且部分用户需要激活 Windows，在这种情况下，可能会导致这一问题。

ASEC解释说，下载的zip文件“W10DigitalActivation.exe”虽然是正版Windows激活，但文件也确实恶意文件。“W10DigitalActivation”msi文件显然是真实的，而另一个“W10DigitalActivation_Temp”文件是恶意软件（见下图）。

当没有心的用户压缩包中的文件时，真正的激活工具和恶意软件会同时执行，从而让用户误以为Windows激活工具是真的，所以这个文件没有威胁。

当你运行木马后，W10DigitalActivation_Temp.exe 会通过命令和控制 (C&C) 服务器下载其他恶意文件，并通过 PowerShell 将它们传送到 Windows 启动程序文件夹中。

最后，BitRAT 会为你在 % temp% 文件夹内的文件中安装“Software_Reporter_Tool.exe”，然后在 Windows Defender 中显示实现了的解决路径和 BitRAT 的解决过程。

以上新闻或文章转载于网络，如有侵权或雷同，请联系IID工作人员处理，谢谢！