IT之家 3月22日消息，安全研究公司 ASEC 發(fā)現(xiàn)網(wǎng)絡(luò)上近期出現(xiàn)了一種新的惡意軟件大肆傳播，它會(huì)偽裝成以 Windows 激活工具的形式，但實(shí)際上是 BitRAT 遠(yuǎn)程訪問(wèn)木馬。

IT之家了解到，ASEC 發(fā)現(xiàn)這種木馬主要是通過(guò) Webhards 分發(fā)（Webhards 是韓國(guó)的在線文件共享服務(wù)），但也會(huì)有通過(guò)其他渠道傳播的風(fēng)險(xiǎn)。

值得一提的是，雖然破解和盜版軟件通常被報(bào)毒，但許多人往往不會(huì)認(rèn)真對(duì)待此類(lèi)警告，而且部分用戶(hù)需要 Windows 激活工具，可能在某些情況下就導(dǎo)致了這一問(wèn)題。

ASEC 解釋說(shuō)，下載的 zip 文件“W10DigitalActivation.exe”雖然帶有正版 Windows 激活文件，但也確實(shí)包含惡意文件。“W10DigitalActivation”msi 文件顯然是真實(shí)的，而另一個(gè)“W10DigitalActivation_Temp”文件卻是惡意軟件（見(jiàn)下圖）。

當(dāng)毫無(wú)戒心的用戶(hù)運(yùn)行壓縮包中的文件時(shí)，真正的激活工具和惡意軟件會(huì)同時(shí)執(zhí)行，從而讓用戶(hù)誤以為 Windows 激活工具是真的，所以這個(gè)文件沒(méi)有威脅。

當(dāng)你運(yùn)行木馬后，W10DigitalActivation_Temp.exe 會(huì)通過(guò)命令和控制 (C&C) 服務(wù)器下載其他惡意文件，并通過(guò) PowerShell 將它們傳遞到 Windows 啟動(dòng)程序文件夾中。

最后，BitRAT 會(huì)為你在 % temp% 文件夾內(nèi)安裝“Software_Reporter_Tool.exe”文件，從而實(shí)現(xiàn)在 Windows Defender 中添加了 Startup 文件夾的排除路徑和 BitRAT 的排除過(guò)程。

關(guān)鍵詞： windows 惡意軟件 w10digitalactivation asec bitrat