不少人可能都有过自己装系统并激活的经验——但要注意,这一点很可能被网络犯罪分子利用,将木马病毒伪装成激活程序诱骗用户下载。
![一款伪装成Windows激活程序的窃密病毒正在传播]( "一款伪装成Windows激活程序的窃密病毒正在传播")
近日,火绒威胁情报系统就发现了一款伪装成Windows非法激活程序的窃密病毒正在传播。该病毒以Windows_Loader.zip包形式诱导用户,内含病毒程序,可以获取用户电脑和程序信息并且盗取资金,对用户构成较大安全威胁。
可以看到,该病毒程序伪装成了Win 7时代最知名的激活器Windows Loader(原作者早已停更)。将该病毒程序与原激活程序对比可发现,病毒程序多了一个activate.exe文件,总体积也要比正常激活程序要大得多。
火绒工程师对样本进行分析发现,该病毒与CryptBot家族有关。CryptBot是一个窃密软件,最早出现在2019年,主要在Windows系统中通过钓鱼邮件和破解软件进行传播。它能窃取受害者浏览器的敏感信息,获取电脑和已安装程序信息,拍摄上传屏幕截图。
受害者一旦双击启动"Windows Loader.exe",其会先后执行同目录下的 activate.exe 和释放的 Windows Loader1.exe,其中恶意行为集中在 activate.exe 中。activate.exe 是一个近 700M 的大文件,逻辑代码包含大量混淆、 SMC、动态加载等操作及近乎全局的内存校验反调(反软件断点)。
据了解,该病毒会窃取浏览器相关数据以及受害者电脑的相关信息(用户名、时间、操作系统、键盘语言、CPU、RAM、GPU等),并遍历注册表获取已安装的用户程序:
与以往不同的是,此次分析中发现新增了"clipboard hijacker"模块,通过劫持受害者剪贴板数据,对受害者复制的数据进行正则匹配,筛选出类似于加密货币地址的文本字符串,获取匹配的剪粘板数据后,会用自己内置的钱包地址进行替换,以吸走资金。
非官方渠道获取的软件风险未知,建议用户不要轻信网络上的激活程序,尤其是那些体积较大的软件。并且尽量不要关闭杀毒防护,防止个人数据及财产被窃取。
编辑:左右里
资讯来源:火绒官网
转载请注明出处和本文链接
原文始发于微信公众号(看雪学苑):一款伪装成Windows激活程序的窃密病毒正在传播
评论