最近,安全研究公司ASEC发现一种新的恶意软件正在互联网上广泛传播。它会伪装成Windows激活工具,但实际上是BitRAT远程访问木马。
ASEC发现,这种特洛伊木马主要通过Webhards (Webhards是韩国的一种在线文件共享服务)传播,但也存在通过其他渠道传播的风险。ASEC认为,目前受害者主要是韩国网民,其他地区的传播并不大。
值得一提的是,虽然破解和盗版软件通常会被报告中毒,但许多人往往不会认真对待这样的警告,一些用户需要Windows激活工具,这可能在某些情况下导致该问题。
ASEC解释说,下载的zip文件“W10DigitalActivation.exe”有正版Windows。
激活文件,但它确实包含恶意文件。“w10数字激活”msi
该文件显然是真实的,而另一个文件“W10DigitalActivation_Temp”是恶意软件。当不知情的用户运行压缩包中的文件时,真正的激活工具和恶意软件会同时执行,这样用户就会被误认。
Windows激活工具是真实的,所以这个文件没有威胁。
运行木马时,W10DigitalActivation_Temp.exe会传递命令和控制(CC)
服务器下载其他恶意文件,通过PowerShell传递到Windows Starter文件夹。
最后,BitRAT会在% temp%文件夹中为你安装“Software_Reporter_Tool.exe”文件,这样就可以在Windows中实现了。
在Defender中添加启动文件夹的排除路径和BitRAT的排除过程。
