电脑装配网

暴风激活工具被发现携带「麻辣香锅」病毒修改和劫持浏览器主页

 人阅读 | 作者xiaolin | 时间:2022-12-18 16:00

出于对价格的考量许多用户在重装系统时都会使用各类激活工具,作为辐射范围颇广的暴风激活工具用户量挺多。

这款工具本质上就是内置 KMS 类脚本搭建本地服务器进行激活 , 因技术难度并不高因此工具本身也易被反编译。

而国内各种下载站则对这类工具的收录非常频繁,因为用户需求量大可以带来更多流量因此下载站也是来者不拒。

这些下载站也不会验证收录的软件是否存在安全问题,反正最终中毒的是用户所以这些下载站也不在意携带病毒。

比如暴风激活工具就被发现携带病毒并在各大下载站传播,用户若通过搜索引擎检索下载的则可能会被病毒感染。

携带麻辣香锅病毒修改和劫持浏览器主页:

 

据360安全安全大脑监测日前截获的暴风激活工具样本携带病毒 , 该病毒的主要用途是修改/劫持用户浏览器主页。

因其木马运行后释放的病毒文件在MLXG_KM目录下,故360安全专家将其命名为麻辣香锅病毒(即拼音的首字母)

麻辣香锅病毒最主要的目的就是劫持用户浏览器主页,几乎所有主流浏览器的主页都会被该病毒篡改并进行锁定。

例如谷歌浏览器、火狐浏览器、IE浏览器、淘宝浏览器、百度浏览器、搜狗浏览器、QQ浏览器和UC浏览器等等。

当这些浏览器主页被劫持后会被强制锁定因此用户无法修改,即便手动修改主页在浏览器重启后会再次遭到篡改。

伪装系统服务阻止安全软件拦截:

 

在运作方式上360安全专家称该病毒的劫持流程可谓是步步为营 , 病毒开发者设置恶意驱动用来注册/加载过滤器。

过滤器可用来阻止主流浏览器调用系统已经安装的杀毒软件,随后创建回调在用户启动浏览器时使用命令行劫持。

同时开发者还会利用恶意驱动对病毒文件进行守护,除病毒进程自身可进行调用外其他调用都会被守护进程阻止。

此外病毒还会注册名为Windows Mobile UserExperience Server伪装成系统服务用来帮助病毒文件连接和升级。

而非专业用户看到这类系统名称可能会误以为是系统进程而不会理会,病毒开发者也正是利用这点迷惑普通用户。

最后病毒还冒用北京嘉恒中自图像技术有限公司已过期的数字签名,试图冒充是正规公司的产品来躲避拦截查杀。

 

使用各类激活工具需谨慎:

 

安全专家表示各类激活工具和破解软件是病毒传播的重要路径,通常此类软件的安全性无法保证因此需谨慎使用。

而用户通过各大搜索引擎查找这类激活工具时则更应该注意,尤其是被标记为广告和产品的几乎百分百携带病毒。

此外各类下载站提供的激活工具也同样是不可靠的,这类下载站几乎不会对收录的软件进行任何检测不保证安全。

激活类工具又是许多病毒开发者最常用的载体,因此若从搜索引擎渠道进行检索的话很难下载到没有病毒的版本。

最后还需要提醒的是许多激活工具声称被杀毒软件误报要求用户放行,而这类可能是真的有病毒用户不应该放行。

 


文章标签:

本文链接:『转载请注明出处』