垃圾系统下载站疯狂传播带毒激活工具感染60万用户

近日火绒安全团队发现用户在系统之家下载安装小马激活和办公软件激活工具会被植入木马劫持浏览器首页。

病毒作者非常谨慎会可以规避北京、厦门、深圳和泉州四个网络安全监察严格地区的IP防止被执法部门发现。

而其他地区的用户访问均会下载到带毒版本，火绒威胁情报系统监测数据显示该病毒感染量已经接近 60 万。

系统之家截图：

主要用于劫持浏览器主页：

该病毒最主要的目的就是劫持用户安装的浏览器的主页，通过加载网址导航来获得对应厂商的流量分成收入。

而该站点在百度搜索排名首位还被标注官网标志，因此在用户搜索时可能会被引导到带毒网站被植入了病毒。

目前火绒杀毒软件已经可以拦截并查杀该病毒，建议曾经在该网站下载过激活工具或镜像的用户立即去查杀。

诱导用户关闭杀毒软件：

为防止被杀毒软件拦截该病毒还会自动提醒用户关闭杀毒软件，如果用户真的关闭杀毒软件那就要被感染了。

成功感染用户设备后该病毒会篡改包括谷歌浏览器、火狐浏览器、遨游浏览器、Opera等主流的浏览器等等。

同时国内的浏览器包括QQ浏览器、猎豹浏览器、360安全/极速浏览器、UC/淘宝浏览器等也都被劫持主页。

GHO系统、激活工具几乎都有问题：

在此蓝点网也提醒大家网上搜索到的各类GHO系统基本都会捆绑各种推广软件甚至是捆绑病毒来劫持用户。

例如部分GHO系统会在用户卸载捆绑软件重启后再次自动安装，这种方式多半在系统植入恶意软件来操作。

同时网上下载到的各类下载工具被植入病毒的概率更高， 知名的小马激活早已停止更新所以下载也没啥用。

而那些声称能够激活Windows 8 和Windows 10 的小马激活全部是假的、利用KMS 激活系统顺便插病毒。

所以用户在装机时最好选择原版系统，通过蓝点网或MSDN我告诉你等下载的均为微软原版镜像也更安全。