安全人员发现新型恶意软件,文件伪装成 Windows 激活工具并可绕过系统保护
source link: https://netsecurity.51cto.com/article/704580.html
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
安全研究公司 ASEC 发现网络上近期出现了一种新的恶意软件大肆传播,它会伪装成以 Windows 激活工具的形式,但实际上是 BitRAT 远程访问木马。
IT之家了解到,ASEC 发现这种木马主要是通过 Webhards 分发(Webhards 是韩国的在线文件共享服务),但也会有通过其他渠道传播的风险。
值得一提的是,虽然破解和盗版软件通常被报毒,但许多人往往不会认真对待此类警告,而且部分用户需要 Windows 激活工具,可能在某些情况下就导致了这一问题。
ASEC 解释说,下载的 zip 文件“W10DigitalActivation.exe”虽然带有正版 Windows 激活文件,但也确实包含恶意文件。“W10DigitalActivation”msi 文件显然是真实的,而另一个“W10DigitalActivation_Temp”文件却是恶意软件(见下图)。
当毫无戒心的用户运行压缩包中的文件时,真正的激活工具和恶意软件会同时执行,从而让用户误以为 Windows 激活工具是真的,所以这个文件没有威胁。
当你运行木马后,W10DigitalActivation_Temp.exe 会通过命令和控制 (C&C) 服务器下载其他恶意文件,并通过 PowerShell 将它们传递到 Windows 启动程序文件夹中。
最后,BitRAT 会为你在 % temp% 文件夹内安装“Software_Reporter_Tool.exe”文件,从而实现在 Windows Defender 中添加了 Startup 文件夹的排除路径和 BitRAT 的排除过程。
Recommend
-
44
近期,我们发现了一种新型的勒索软件家族-Anatova。Anatova发现于一个私人的点对点(p2p)网络中,目前我们已经确保客户得到了有效的安全保护,并打算在这篇文章中公开我们的研究成果。
-
6
针对 Linux 的新型恶意软件 Symbiote:几乎不可能被检测到-51CTO.COM
-
8
Excel等文件中出现新型恶意软件Dropper,通过钓鱼邮件传播-51CTO.COM Excel等文件中出现新型恶意软件Dropper,通过钓鱼邮件传播 作者:Avenger 2022-07-18 06:10:14
-
5
新型恶意软件CloudMensis 正对 Mac 设备部署后门-51CTO.COM 新型恶意软件CloudMensis 正对 Mac 设备部署后门 作者:Zicheng 2022-07-20 15:00:45
-
7
新型恶意软件可劫持 Facebook 企业帐户-51CTO.COM 新型恶意软件可劫持 Facebook 企业帐户 作者:我们会有自己的猫 2022-07-29 11:13:14
-
2
新型隐形恶意软件Shikitega正针对Linux系统 作者:Zicheng 2022-09-08 18:41:34 安全 一种名为 Shikitega 的新型Linux 恶意软件,可...
-
4
在电子邮件作为主要恶意软件感染媒介的今天,网络钓鱼已经成为大多数恶意软件传播的首选途径。但是研究人员发...
-
3
2023年最危险的新型恶意软件威胁Top 10 2023-05-09 11:33:18 安全 独立安全分析师Cristina Gaia在LinkedIn上发布了当前最危险的10...
-
12
安全研究人员发现新的恶意软件 Redis p2pinfect 2023年08月03日 2023年08月03日...
-
4
新型恶意软件曝光:可绕过微软 Windows 10 / Windows 11 防御机制,专门窃取用户敏感信息 作者:故渊 2024-01-17 10:01:05 安全 Phe...
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK