[情報] 非官方Windows授權啟動軟體藏有BitRAT惡
非官方Windows授權啟動軟體藏有BitRAT惡意程式
文/林妍溱 | 2022-03-28發表
想使用盜版Windows的用戶要小心了,安全廠商發現非官方的Windows授權啟動軟體內有遠
端木馬程式(RAT)。
安全廠商ASEC近日發現,韓國最大檔案分享平臺Webhard上一個可供公開下載的程式W10
Digital Activation,宣稱是Windows 10 Pro授權啟動器(activator)。但用戶若下載
用來驗證Webhard或其他網站下載的(即盜版)Windows軟體的授權,就會被植入BitRAT木
馬程式。
研究人員指出,整個過程惡意程式都偽裝成Windows 10驗證工具。用戶下載W10 Digital
Activation後先會獲得Program.zip的壓縮檔,以1234解鎖後即得到
W10DigitalActivation.exe,這是一個7z SFX自解壓縮檔,內有真正的驗證工具
W10DigitalActivation.msi,以及W10DigitalActivation_Temp.mis,後者則是惡意程式
,兩者會同時安裝及啟動,藉由驗證Windows來掩藏真實意圖。
W10DigitalActivation_Temp.mis啟動會和外部C&C伺服器建立連線,再下載木馬程式
BitRAT,以Software_Reporter_Tool.exe為檔名儲存到%TEMP%的路徑下。研究人員表示它
能力頗高超,能利用powershell指令將Windows啟動程式夾加入Windows Defender的例外
路徑清單,並把Software_Reporter_Tool.exe的行程加入Defender的例外行程清單中,目
的在規避Defender防毒引擎的掃瞄。
BitRAT從2020年即在駭客論壇中販售,且一直為駭客愛用。它不僅提供攻擊者簡單的控制
權,像是執行程式、服務、檔案和遠端指令,還提供進階功能,如竊取資訊、隱藏式虛擬
網路運算(hidden virtual network computing,HVNC,即讓攻擊者取得感染裝置的用戶
存取權)、遠端桌面、挖礦和執行代理伺服器、以及執行DDoS攻擊、繞過UAC(User
Access Control)等。
研究人員表示,降低這波感染機率的有效方法之一,便是不要使用盜版Windows。
https://www.ithome.com.tw/news/150127
--
作者 mindstack31 (mindmind) 看板 PC_Shopping
標題 Re: [情報] AMD Threadripper NDA解禁
時間 Thu Aug 10 21:33:16 2017
───────────────────────────────────────
推
08/10 21:57,
08/10 21:57
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 111.251.45.143 (臺灣)
※ 文章網址: https://www.ptt.cc/bbs/PC_Shopping/M.1648825270.A.8C4.html
推
04/02 01:23,
2年前
, 1F
04/02 01:23, 1F
→
04/02 01:23,
2年前
, 2F
04/02 01:23, 2F
→
04/02 01:37,
2年前
, 3F
04/02 01:37, 3F
→
04/02 01:37,
2年前
, 4F
04/02 01:37, 4F
推
04/02 02:29,
2年前
, 5F
04/02 02:29, 5F
→
04/02 06:20,
2年前
, 6F
04/02 06:20, 6F
→
04/02 07:54,
2年前
, 7F
04/02 07:54, 7F
→
04/02 08:09,
2年前
, 8F
04/02 08:09, 8F
→
04/02 08:09,
2年前
, 9F
04/02 08:09, 9F
→
04/02 09:25,
2年前
, 10F
04/02 09:25, 10F
推
04/02 09:32,
2年前
, 11F
04/02 09:32, 11F
推
04/02 14:08,
2年前
, 12F
04/02 14:08, 12F
推
04/02 14:16,
2年前
, 13F
04/02 14:16, 13F
→
04/02 14:16,
2年前
, 14F
04/02 14:16, 14F
推
04/02 16:35,
2年前
, 15F
04/02 16:35, 15F
→
04/02 21:05,
2年前
, 16F
04/02 21:05, 16F