一款偽裝成Windows啟用程式的竊密病毒正在傳播

不少人可能都有過自己裝系統並啟用的經驗，但要注意，這一點很可能被網路犯罪分子利用——將木馬病毒偽裝成啟用程式誘騙使用者下載。

近日，火絨威脅情報系統就發現了一款偽裝成Windows非法啟用程式的竊密病毒正在傳播。該病毒以Windows_Loader.zip包形式誘導使用者，內含病毒程式，可以獲取使用者電腦和程式資訊並且盜取資金，對使用者構成較大安全威脅。

可以看到，該病毒程式偽裝成了Win 7時代最知名的啟用器Windows Loader（原作者早已停更）。將該病毒程式與原啟用程式對比可發現，病毒程式多了一個activate.exe檔案，總體積也要比正常啟用程式要大得多。

火絨工程師對樣本進行分析發現，該病毒與CryptBot家族有關。CryptBot是一個竊密軟體，最早出現在2019年，主要在Windows系統中透過釣魚郵件和破解軟體進行傳播。它能竊取受害者瀏覽器的敏感資訊，獲取電腦和已安裝程式資訊，拍攝上傳螢幕截圖。

該樣本病毒流程圖，如下所示：

受害者一旦雙擊啟動"Windows Loader.exe"，其會先後執行同目錄下的 activate.exe 和釋放的 Windows Loader1.exe，其中惡意行為集中在 activate.exe 中。activate.exe 是一個近 700M 的大檔案，邏輯程式碼包含大量混淆、 SMC、動態載入等操作及近乎全域性的記憶體校驗反調（反軟體斷點）。

據瞭解，該病毒會竊取瀏覽器相關資料以及受害者電腦的相關資訊（使用者名稱、時間、作業系統、鍵盤語言、CPU、RAM、GPU等），並遍歷登錄檔獲取已安裝的使用者程式：

與以往不同的是，此次分析中發現新增了"clipboard hijacker"模組，透過劫持受害者剪貼簿資料，對受害者複製的資料進行正則匹配，篩選出類似於加密貨幣地址的文字字串，獲取匹配的剪粘板資料後，會用自己內建的錢包地址進行替換，以吸走資金。

非官方渠道獲取的軟體風險未知，建議使用者不要輕信網路上的啟用程式，尤其是那些體積較大的軟體。並且儘量不要關閉防毒防護，防止個人資料及財產被竊取。

報告連結：https://www.huorong.cn/info/17061795351117.html

編輯：左右裡

資訊來源：火絨官網

轉載請註明出處和本文連結