这个 Windows 密钥验证工具实际上是一个绕过 Defender 的致命 BitRAT

安全研究公司 ASEC 发现了一个新的恶意软件活动,它以 Windows 产品密钥验证工具的形式伪装自己。在这种伪装下,该工具实际上是 BitRAT 或远程访问木马。

ASEC 发现这种特殊的 RAT 正在通过 Webhards 分发,Webhards 是韩国的在线文件共享服务。虽然破解和盗版软件通常会用恶意软件感染设备,但许多人往往不会认真对待此类警告,或者他们可能买不起正版 Windows 许可证。因此,恶意软件制造者继续通过这种方式制作和分发恶意软件。

现在,了解这个 BitRAT 的工作原理,ASEC 解释说,下载的 zip 文件“W10DigitalActivation.exe”包含恶意文件,但也带有正版 Windows 激活文件。“W10DigitalActivation”msi 文件显然是真实的,而另一个“W10DigitalActivation_Temp”文件是恶意软件(见下图)。

当毫无戒心的用户运行 exe 文件时,实际验证工具和恶意软件文件都会同时执行,从而给用户留下 Windows 许可证密钥验证工具按预期工作的印象。

1647903095_win_10_fake_key_verification_tool_malware_source-_asec_story

然后,W10DigitalActivation_Temp.exe 恶意软件文件继续从命令和控制 (C&C) 服务器下载其他恶意文件,并通过 PowerShell 将它们传递到 Windows 启动程序文件夹中。最后,BitRAT 作为“ Software_Reporter_Tool.exe ”文件安装在 %temp% 文件夹和 Windows Defender 中,添加了 Startup 文件夹的排除路径和 BitRAT 的排除过程。

原创文章,作者:校长,如若转载,请注明出处:https://www.yundongfang.com/Yun140700.html

(0)
打赏 微信扫一扫不于多少! 微信扫一扫不于多少! 支付宝扫一扫礼轻情意重 支付宝扫一扫礼轻情意重
上一篇 2022年3月21日 下午9:44
下一篇 2022年3月22日 下午5:13

相关推荐