全研究公司 ASEC 發(fā)現(xiàn)網(wǎng)絡(luò)上近期出現(xiàn)了一種新的惡意軟件大肆傳播,它會偽裝成以 Windows 激活工具的形式,但實際上是 BitRAT 遠程訪問木馬。
這種木馬主要是通過 Webhards 分發(fā),但也會有通過其他渠道傳播的風(fēng)險。
近期360互聯(lián)網(wǎng)安全中心監(jiān)測到,一些偽裝成“暴風(fēng)激活”、“小馬激活”的木馬程序再次通過搜索引擎的競價排名大量推廣傳播,運行過這類激活工具后,非但系統(tǒng)沒有激活,瀏覽器的收藏夾、默認搜索引擎、主頁等均遭到篡改劫持,而且還會安裝木馬后門等。之前360安全衛(wèi)士也對這類木馬做過多次播報,如:《偽裝成“小馬激活”的木馬泛濫,幕后推手原來是搜索推廣》
從木馬的云控域名請求數(shù)據(jù)可以明顯看到近期上漲的趨勢:
云控域名請求數(shù)據(jù)
這類廣告投放上,還精心的進行了地區(qū)限制:刻意避開北京、上海、廣州或深圳,使用這四個城市的ip搜索,則不會出現(xiàn)任何激活工具相關(guān)的推廣廣告頁面;如果當(dāng)前所屬地為其他城市,則會展示帶木馬激活工具的推廣廣告頁面,如下對比圖所示:
推廣避開北上廣深地區(qū)
更換多家殼公司域名進行推廣
通過安全檢測又要求關(guān)閉安全軟件
提示關(guān)閉安全軟件
360互聯(lián)網(wǎng)安全中心提醒:
要求退出殺毒軟件的激活工具基本都是木馬;
針對此類型的木馬,請相信殺毒軟件的判斷,不要輕易退殺軟或添加信任運行;
大家在網(wǎng)上使用搜索引擎查找軟件時,應(yīng)格外注意搜索引擎推廣的內(nèi)容,已經(jīng)被殺毒軟件攔截頁面不要繼續(xù)訪問;
有條件的用戶,建議盡量使用正版軟件,謹(jǐn)防各類破解工具中暗藏木馬,使用后得不償失。