安全研究人员发现了一种新型恶意软件,它伪装成Windows激活工具,可以绕过系统保护形式,但实际上是一种BitRAT远程访问木马。IT之家了解到,ASEC发现该木马主要通过Webhards(Webhards是韩国的在线文件共享服务)传播,但也存在通过其他渠道传播的风险。值得一提的是,虽然破解和盗版软件经常被报告为病毒,但很多人往往没有认真对待这些警告,一些用户需要Windows激活工具,这在某些情况下可能会导致此问题。ASEC解释说,下载的zip文件“W10DigitalActivation.exe”虽然带有正版Windows激活文件,但确实包含恶意文件。“W10DigitalActivation”msi文件显然是真实的,而另一个“W10DigitalActivation_Temp”文件是恶意软件(见下图)。当不知情的用户运行压缩包中的文件时,正版激活工具和恶意软件同时执行,从而诱使用户认为Windows激活工具是真实的,因此该文件不是威胁。当您运行木马时,W10DigitalActivation_Temp.exe通过命令和控制(C&C)服务器下载其他恶意文件,并通过PowerShell将它们传送到Windows启动程序文件夹。最后,BitRAT会为你安装%temp%文件夹下的“Software_Reporter_Tool.exe”文件,从而在WindowsDefender中添加Startup文件夹的排除路径和BitRAT的排除进程。
