出於對價格的考量許多用戶在重裝系統時都會使用各類激活工具,作為輻射範圍頗廣的暴風激活工具用戶量挺多。
這款工具本質上就是內置 KMS 類腳本搭建本地服務器進行激活 , 因技術難度並不高因此工具本身也易被反編譯。
而國內各種下載站則對這類工具的收錄非常頻繁,因為用戶需求量大可以帶來更多流量因此下載站也是來者不拒。
這些下載站也不會驗證收錄的軟件是否存在安全問題,反正最終中毒的是用戶所以這些下載站也不在意攜帶病毒。
比如暴風激活工具就被發現攜帶病毒並在各大下載站傳播,用戶若通過搜索引擎檢索下載的則可能會被病毒感染。
攜帶麻辣香鍋病毒修改和劫持瀏覽器主頁:
據360安全安全大腦監測日前截獲的暴風激活工具樣本攜帶病毒 , 該病毒的主要用途是修改/劫持用戶瀏覽器主頁。
因其木馬運行後釋放的病毒文件在MLXG_KM目錄下,故360安全專家將其命名為麻辣香鍋病毒(即拼音的首字母)
麻辣香鍋病毒最主要的目的就是劫持用戶瀏覽器主頁,幾乎所有主流瀏覽器的主頁都會被該病毒篡改並進行鎖定。
例如谷歌瀏覽器、火狐瀏覽器、IE瀏覽器、淘寶瀏覽器、百度瀏覽器、搜狗瀏覽器、QQ瀏覽器和UC瀏覽器等等。
當這些瀏覽器主頁被劫持後會被強制鎖定因此用戶無法修改,即便手動修改主頁在瀏覽器重啟後會再次遭到篡改。
偽裝系統服務阻止安全軟件攔截:
在運作方式上360安全專家稱該病毒的劫持流程可謂是步步為營 , 病毒開發者設置惡意驅動用來註冊/加載過濾器。
過濾器可用來阻止主流瀏覽器調用系統已經安裝的殺毒軟件,隨後創建回調在用戶啟動瀏覽器時使用命令行劫持。
同時開發者還會利用惡意驅動對病毒文件進行守護,除病毒進程自身可進行調用外其他調用都會被守護進程阻止。
此外病毒還會註冊名為Windows Mobile UserExperience Server偽裝成系統服務用來幫助病毒文件連接和升級。
而非專業用戶看到這類系統名稱可能會誤以為是系統進程而不會理會,病毒開發者也正是利用這點迷惑普通用戶。
最後病毒還冒用北京嘉恆中自圖像技術有限公司已過期的數字簽名,試圖冒充是正規公司的產品來躲避攔截查殺。
使用各類激活工具需謹慎:
安全專家表示各類激活工具和破解軟件是病毒傳播的重要路徑,通常此類軟件的安全性無法保證因此需謹慎使用。
而用戶通過各大搜索引擎查找這類激活工具時則更應該注意,尤其是被標記為廣告和產品的幾乎百分百攜帶病毒。
此外各類下載站提供的激活工具也同樣是不可靠的,這類下載站幾乎不會對收錄的軟件進行任何檢測不保證安全。
激活類工具又是許多病毒開發者最常用的載體,因此若從搜索引擎渠道進行檢索的話很難下載到沒有病毒的版本。
最後還需要提醒的是許多激活工具聲稱被殺毒軟件誤報要求用戶放行,而這類可能是真的有病毒用戶不應該放行。
閱讀更多 藍點網 的文章
