不少人可能都有过自己装系统并激活的经验——但要注意,这一点很可能被网络犯罪分子利用,将木马病毒伪装成激活程序诱骗用户下载。
近日,火绒威胁情报系统就发现了一款伪装成Windows非法激活程序的窃密病毒正在传播。该病毒以Windows_Loader.zip包形式诱导用户,内含病毒程序,可以获取用户电脑和程序信息并且盗取资金,对用户构成较大安全威胁。
可以看到,该病毒程序伪装成了Win 7时代最知名的激活器Windows Loader(原作者早已停更)。将该病毒程序与原激活程序对比可发现,病毒程序多了一个activate.exe文件,总体积也要比正常激活程序要大得多。
火绒工程师对样本进行分析发现,该病毒与CryptBot家族有关。CryptBot是一个窃密软件,最早出现在2019年,主要在Windows系统中通过钓鱼邮件和破解软件进行传播。它能窃取受害者浏览器的敏感信息,获取电脑和已安装程序信息,拍摄上传屏幕截图。
该样本病毒流程图,如下所示:
受害者一旦双击启动"Windows Loader.exe",其会先后执行同目录下的 activate.exe 和释放的 Windows Loader1.exe,其中恶意行为集中在 activate.exe 中。activate.exe 是一个近 700M 的大文件,逻辑代码包含大量混淆、 SMC、动态加载等操作及近乎全局的内存校验反调(反软件断点)。
据了解,该病毒会窃取浏览器相关数据以及受害者电脑的相关信息(用户名、时间、操作系统、键盘语言、CPU、RAM、GPU等),并遍历注册表获取已安装的用户程序:
与以往不同的是,此次分析中发现新增了"clipboard hijacker"模块,通过劫持受害者剪贴板数据,对受害者复制的数据进行正则匹配,筛选出类似于加密货币地址的文本字符串,获取匹配的剪粘板数据后,会用自己内置的钱包地址进行替换,以吸走资金。
非官方渠道获取的软件风险未知,建议用户不要轻信网络上的激活程序,尤其是那些体积较大的软件。并且尽量不要关闭杀毒防护,防止个人数据及财产被窃取。
报告链接:
编辑:左右里
资讯来源:火绒官网
转载请注明出处和本文链接
每日涨知识
高级持久威胁(APT)
一种网络攻击,使用复杂的技术持续对目标政府和公司进行网络间谍活动或其他恶意活动。通常由具有丰富专业知识和大量资源的对手进行-通常与民族国家参与者相关。这些攻击往往来自多个入口点,并且可能使用多个攻击媒介(例如,网络攻击,物理攻击,欺骗攻击)。一旦系统遭到破坏,结束攻击可能非常困难。
﹀
﹀
﹀
--完--
ChatGPT4.0 共享系统,换了一个新系统,更稳定,更好用了。
目前GPT-4.0的功能:支持GPTs、联网功能、插件功能、上传文件、数据分析、AI画图、上传图片自动识别功能等 。这些功能都是3.5不能具备的 !
不过,这个功能目前只有升级Plus会员,才能使用 。
大家也都知道,官方开通的Plus会员,一个月20美元,相当于人民币180元每月,而且经常有被封号的风险 。
所以,这边一次性买了50多个Plus会员放在一个系统的池子里,共享给大家使用 。每月只需要90元,就可以直接使用 GPT 4.0 ,而且国内网络就可以直接登录 ,不需要额外的上网工具 。
复制购买链接到浏览器打开:https://qeosq.xetlk.com/s/408XZG
购买这个账号,一直有售后,不用担心中途封号或者用不了
或者直接微信付款后,加我微信:itcodexy,备注:90元购买plus账号
我会立马通过微信好友请求 。
扫码可以直接购买
球分享
球点赞
球在看
479
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
