Windows 激活工具并可绕过系统包全 文件伪装成 安保人员发现新型恶意软件

安保钻研公司 ASEC 发现网络上近期产生了一种新的恶意软件大肆流传，它会伪装成以 Windows 激活工具的方式，但实践上是 BitRAT远程访问木马。

IT之家了解到，ASEC 发现这种木马重要是经过 Webhards 散发(Webhards是韩国的在线文件共享服务)，但也会有经过其余渠道流传的危险。

值得一提的是，只管破解和盗版软件通常被报毒，但许多人往往不会仔细看待此类正告，而且局部用户须要 Windows激活工具，或许在某些状况下就造成了这一疑问。

ASEC 解释说，下载的 zip 文件“W10DigitalActivation.exe”只管带有正版 Windows激活文件，但也确实蕴含恶意文件。“W10DigitalActivation”msi文件显然是真实的，而另一个“W10DigitalActivation_Temp”文件却是恶意软件(见下图)。

当毫无戒心的用户运转紧缩包中的文件时，真正的激活工具和恶意软件会同时口头，从而让用户误认为 Windows 激活工具是真的，所以这个文件没有要挟。

当你运转木马后，W10DigitalActivation_Temp.exe 会经过命令和控制 (C&C) 主机下载其余恶意文件，并经过PowerShell 将它们传递到 Windows 启动程序言件夹中。

最后，BitRAT 会为你在 % temp% 文件夹内装置“Software_Reporter_Tool.exe”文件，从而实如今 WindowsDefender 中减少了 Startup 文件夹的扫除门路和 BitRAT 的扫除环节。