不少人可能都有過自己裝系統(tǒng)并激活的經(jīng)驗(yàn)——但要注意，這一點(diǎn)很可能被網(wǎng)絡(luò)犯罪分子利用，將木馬病毒偽裝成激活程序誘騙用戶下載。

近日，火絨威脅情報(bào)系統(tǒng)就發(fā)現(xiàn)了一款偽裝成Windows非法激活程序的竊密病毒正在傳播。該病毒以Windows_Loader.zip包形式誘導(dǎo)用戶，內(nèi)含病毒程序，可以獲取用戶電腦和程序信息并且盜取資金，對(duì)用戶構(gòu)成較大安全威脅。

可以看到，該病毒程序偽裝成了Win 7時(shí)代最知名的激活器Windows Loader(原作者早已停更)。將該病毒程序與原激活程序?qū)Ρ瓤砂l(fā)現(xiàn)，病毒程序多了一個(gè)activate.exe文件，總體積也要比正常激活程序要大得多。

火絨工程師對(duì)樣本進(jìn)行分析發(fā)現(xiàn)，該病毒與CryptBot家族有關(guān)。CryptBot是一個(gè)竊密軟件，最早出現(xiàn)在2019年，主要在Windows系統(tǒng)中通過釣魚郵件和破解軟件進(jìn)行傳播。它能竊取受害者瀏覽器的敏感信息，獲取電腦和已安裝程序信息，拍攝上傳屏幕截圖。

該樣本病毒流程圖，如下所示：

受害者一旦雙擊啟動(dòng)"Windows Loader.exe"，其會(huì)先后執(zhí)行同目錄下的 activate.exe 和釋放的 Windows Loader1.exe，其中惡意行為集中在 activate.exe 中。activate.exe 是一個(gè)近 700M 的大文件，邏輯代碼包含大量混淆、 SMC、動(dòng)態(tài)加載等操作及近乎全局的內(nèi)存校驗(yàn)反調(diào)(反軟件斷點(diǎn))。

據(jù)了解，該病毒會(huì)竊取瀏覽器相關(guān)數(shù)據(jù)以及受害者電腦的相關(guān)信息(用戶名、時(shí)間、操作系統(tǒng)、鍵盤語言、CPU、RAM、GPU等)，并遍歷注冊(cè)表獲取已安裝的用戶程序：

與以往不同的是，此次分析中發(fā)現(xiàn)新增了"clipboard hijacker"模塊，通過劫持受害者剪貼板數(shù)據(jù)，對(duì)受害者復(fù)制的數(shù)據(jù)進(jìn)行正則匹配，篩選出類似于加密貨幣地址的文本字符串，獲取匹配的剪粘板數(shù)據(jù)后，會(huì)用自己內(nèi)置的錢包地址進(jìn)行替換，以吸走資金。

非官方渠道獲取的軟件風(fēng)險(xiǎn)未知，建議用戶不要輕信網(wǎng)絡(luò)上的激活程序，尤其是那些體積較大的軟件。并且盡量不要關(guān)閉殺毒防護(hù)，防止個(gè)人數(shù)據(jù)及財(cái)產(chǎn)被竊取。

報(bào)告鏈接：

編輯：左右里

資訊來源：火絨官網(wǎng)