有黑客将病毒掺在Windows 10数字激活工具里诱导用户下载使用
数字激活工具目前已经有多种变体并且网上很容易下载,只不过从网上下载这类文件时需注意文件的安全性。
比如最近就有黑客将自己开发的病毒掺在数字激活工具里,当用户执行时确实可以激活但同时系统也会中毒。
这个数字激活工具调用的是HWID (GEN) , 即通过硬件模拟免费升级来获得Windows 10永久数字激活权利。
微软等防病毒软件很容易识别并将其查杀,只不过黑客散布文件时已经表示激活工具会被拦截要求用户放行。
图片来自Ahnlab
W10 Digital Activation 是个基于HWID的数字权利激活工具,该工具本身并没有病毒也确实可以激活系统。
黑客文件包含W10DigitalActivation.msi、W10DigitalActivation_Temp.msi和W10DigitalActivation.exe
其中W10DigitalActivation.msi是正常激活工具,Temp.msi则是病毒 , 而运行exe则会同时执行前面的文件。
也就是说当用户将其添加到白名单后,运行可执行程序后会同时启用数字权利激活工具以及黑客制作的病毒。
在用户操作激活系统时其实病毒已经悄悄运行,当用户成功激活后,估计也不会觉得其他异常直接删除文件。
当然删除文件并不会导致病毒被删除 , 相反,此时病毒已经与远程服务器通信并下载 BitRAT 其他恶意软件。
值得注意的是恶意文件负载后会将其设置为自启动,同时还将自己的下载路径和进程放在杀毒软件排除路径。
前段时间蓝点网提到微软修改Microsoft Defender安全策略 , 非管理员用户不再支持设置排除文件/文件夹。
微软修改的目的就是防止恶意软件将自己设置在排除列表里,但通常只有企业员工使用的是普通权限的账户。
多数家庭用户使用的仍然是管理员级别的账户因此无法进行防御,这波黑客成功利用这个缺陷完成排除操作。
接下来黑客就可以远程访问受害者的计算机,如果用户没有安装其他安全软件那应该很难发现自己已经中毒。
安全公司分析后发现此次黑客散布的恶意软件里有韩语字符,同时也使用韩国企业提供的网盘进行文件传播。
再加上黑客散布的帖子也是韩语的,因此安全公司认为黑客和受害者都是韩国人,不过暂时还没有统计数据。
至于BitRAT这个名称,这并非黑客集团的名字,而是个早就流传的远程访问木马,目前被不少黑客改造使用。
在这里也建议大家在网上搜索内容时不要轻易下载内容,尤其是可执行文件建议仔细扫描后再考虑是否启用。