bitrat远程访问木马 IT之家3月22日消息

IT之家3月22日消息，安全研究公司ASEC发现网络上近期出现了一种新的恶意软件大肆传播，它会伪装成以Windows激活工具的形式，但实际上是BitRAT远程访问木马。
【bitrat远程访问木马】IT之家了解到， ASEC发现这种木马主要是通过Webhards分发（Webhards是韩国的在线文件共享服务），但也会有通过其他渠道传播的风险。
值得一提的是，虽然破解和盗版软件通常被报毒，但许多人往往不会认真对待此类警告，而且部分用户需要Windows激活工具，可能在某些情况下就导致了这一问题。
ASEC解释说，下载的zip文件“W10DigitalActivation.exe”虽然带有正版Windows激活文件，但也确实包含恶意文件。“W10DigitalActivation”msi文件显然是真实的，而另一个“W10DigitalActivation_Temp”文件却是恶意软件（见下图）。
当毫无戒心的用户运行压缩包中的文件时，真正的激活工具和恶意软件会同时执行，从而让用户误以为Windows激活工具是真的，所以这个文件没有威胁。

文章图片

文章图片

当你运行木马后， W10DigitalActivation_Temp.exe会通过命令和控制(C&C)服务器下载其他恶意文件，并通过PowerShell将它们传递到Windows启动程序文件夹中。
最后， BitRAT会为你在%temp%文件夹内安装“Software_Reporter_Tool.exe”文件，从而实现在WindowsDefender中添加了Startup文件夹的排除路径和BitRAT的排除过程。