3月22日消息,研究公司ASEC发现网络上安全近期出现了一种新的恶意软件大肆传播,它伪装成以Windows激活工具的形式,但实际上是BitRAT远程访问木马。
IT之家的这种木头文件,主要通过SEC发现的马是Webhard分发(Webhard是韩国共享),但也有其他传播服务。
值得一提的是,破解和盗版软件通常会被报毒,但很多人确实不会出现这样的警告,而且部分用户需要激活 Windows,在这种情况下,可能会导致这一问题。
ASEC解释说,下载的zip文件“W10DigitalActivation.exe”虽然是正版Windows激活,但文件也确实恶意文件。“W10DigitalActivation”msi文件显然是真实的,而另一个“W10DigitalActivation_Temp”文件是恶意软件(见下图)。
当没有心的用户压缩包中的文件时,真正的激活工具和恶意软件会同时执行,从而让用户误以为Windows激活工具是真的,所以这个文件没有威胁。
当你运行木马后,W10DigitalActivation_Temp.exe 会通过命令和控制 (C&C) 服务器下载其他恶意文件,并通过 PowerShell 将它们传送到 Windows 启动程序文件夹中。
最后,BitRAT 会为你在 % temp% 文件夹内的文件中安装“Software_Reporter_Tool.exe”,然后在 Windows Defender 中显示实现了的解决路径和 BitRAT 的解决过程。
以上新闻或文章转载于网络,如有侵权或雷同,请联系IID工作人员处理,谢谢!