您所在的位置: 首頁 >
新聞資訊 >
威脅情報 >
一款偽裝成Windows激活程序的竊密病毒正在傳播
不少人可能都有過自己裝系統(tǒng)并激活的經驗——但要注意,這一點很可能被網絡犯罪分子利用,將木馬病毒偽裝成激活程序誘騙用戶下載。
近日,火絨威脅情報系統(tǒng)就發(fā)現(xiàn)了一款偽裝成Windows非法激活程序的竊密病毒正在傳播。該病毒以Windows_Loader.zip包形式誘導用戶,內含病毒程序,可以獲取用戶電腦和程序信息并且盜取資金,對用戶構成較大安全威脅。
可以看到,該病毒程序偽裝成了Win 7時代最知名的激活器Windows Loader(原作者早已停更)。將該病毒程序與原激活程序對比可發(fā)現(xiàn),病毒程序多了一個activate.exe文件,總體積也要比正常激活程序要大得多。
火絨工程師對樣本進行分析發(fā)現(xiàn),該病毒與CryptBot家族有關。CryptBot是一個竊密軟件,最早出現(xiàn)在2019年,主要在Windows系統(tǒng)中通過釣魚郵件和破解軟件進行傳播。它能竊取受害者瀏覽器的敏感信息,獲取電腦和已安裝程序信息,拍攝上傳屏幕截圖。
該樣本病毒流程圖,如下所示:
受害者一旦雙擊啟動"Windows Loader.exe",其會先后執(zhí)行同目錄下的 activate.exe 和釋放的 Windows Loader1.exe,其中惡意行為集中在 activate.exe 中。activate.exe 是一個近 700M 的大文件,邏輯代碼包含大量混淆、 SMC、動態(tài)加載等操作及近乎全局的內存校驗反調(反軟件斷點)。
據了解,該病毒會竊取瀏覽器相關數(shù)據以及受害者電腦的相關信息(用戶名、時間、操作系統(tǒng)、鍵盤語言、CPU、RAM、GPU等),并遍歷注冊表獲取已安裝的用戶程序:
與以往不同的是,此次分析中發(fā)現(xiàn)新增了"clipboard hijacker"模塊,通過劫持受害者剪貼板數(shù)據,對受害者復制的數(shù)據進行正則匹配,篩選出類似于加密貨幣地址的文本字符串,獲取匹配的剪粘板數(shù)據后,會用自己內置的錢包地址進行替換,以吸走資金。
非官方渠道獲取的軟件風險未知,建議用戶不要輕信網絡上的激活程序,尤其是那些體積較大的軟件。并且盡量不要關閉殺毒防護,防止個人數(shù)據及財產被竊取。
報告鏈接:
編輯:左右里
資訊來源:火絨官網