这个 Windows 金钥破解器其实是远端木马程式
虽然现代人的版权意识相比过去来说强了很多,但基於投机与贪小便宜的心理很多人在安装作业系统或是软体时,总会想找看看有没有破解版、免费版。近日,安全研究单位发现了一种新的恶意软体活动,以 Windows 作业系统产品金钥破解工具的形式伪装,实际上却是 BitRAT 或是远端访问的木马程式。
这个 Windows 金钥破解器其实是远端木马程式
安全研究机构 ASEC 近日发现特殊 LUALAR RAT,透过韩国线上档案共享服务 Webhards 传播,档案名称直接点名是可以快速安装的 Windows 金钥验证器。众所周知,破解版和盗版软体中常常会夹带侵入硬体设备的恶意软体, 但许多人往往不会认真去看待这些常识性的问题,或者不想要花钱购买 Windows 金钥,因此恶意软体制造者还是会继续透过此类手段生产和传播恶意软体。
▲在韩国网站上的 Windows 金钥验证器发文
当毫无戒心的用户下载了名为「Program.zip」的档案後只需要输入「1234」的密码即可解锁并解压缩,其中包含有一个名为「W10DigitalActivation.exe」的档案,外观上看起来就跟常见的破解器差不多。
▲压缩档中所包含的档案
「W10DigitalActivation.exe」是一个 7z SFX 档,其中包含一个名为「W10DigitalActivation.msi」的实际验证工具和名为「W10DigitalActivation_Temp.msi」的恶意软体。当使用者在该 exe 档上按两下时,它将同时安装把两个 msi 档安装到电脑上,由於恶意软体和验证工具同时运行,因此使用者会误以为该工具正常运行。
▲7z SFX档中的恶意软体
此金钥验证工具中还配备了其他功能,无论如何都不是表面上看起来那麽简单的程式。如下图所示,其功能之一是利用 powershell 命令将 Windows 启动程式资料夹(安装下载程式的位置)设定为 …