不少人可能都有过自己装系统并激活的经验，但要注意，这一点很可能被网络犯罪分子利用——将木马病毒伪装成激活程序诱骗用户下载。

近日，火绒威胁情报系统就发现了一款伪装成Windows非法激活程序的窃密病毒正在传播。该病毒以Windows_Loader.zip包形式诱导用户，内含病毒程序，可以获取用户电脑和程序信息并且盗取资金，对用户构成较大安全威胁。

可以看到，该病毒程序伪装成了Win 7时代最知名的激活器Windows Loader（原作者早已停更）。将该病毒程序与原激活程序对比可发现，病毒程序多了一个activate.exe文件，总体积也要比正常激活程序要大得多。

火绒工程师对样本进行分析发现，该病毒与CryptBot家族有关。CryptBot是一个窃密软件，最早出现在2019年，主要在Windows系统中通过钓鱼邮件和破解软件进行传播。它能窃取受害者浏览器的敏感信息，获取电脑和已安装程序信息，拍摄上传屏幕截图。

该样本病毒流程图，如下所示：

受害者一旦双击启动"Windows Loader.exe"，其会先后执行同目录下的 activate.exe 和释放的 Windows Loader1.exe，其中恶意行为集中在 activate.exe 中。activate.exe 是一个近 700M 的大文件，逻辑代码包含大量混淆、 SMC、动态加载等操作及近乎全局的内存校验反调（反软件断点）。

据了解，该病毒会窃取浏览器相关数据以及受害者电脑的相关信息（用户名、时间、操作系统、键盘语言、CPU、RAM、GPU等），并遍历注册表获取已安装的用户程序：

与以往不同的是，此次分析中发现新增了"clipboard hijacker"模块，通过劫持受害者剪贴板数据，对受害者复制的数据进行正则匹配，筛选出类似于加密货币地址的文本字符串，获取匹配的剪粘板数据后，会用自己内置的钱包地址进行替换，以吸走资金。

非官方渠道获取的软件风险未知，建议用户不要轻信网络上的激活程序，尤其是那些体积较大的软件。并且尽量不要关闭杀毒防护，防止个人数据及财产被窃取。

报告链接：247K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2Z5N6h3!0J5L8$3&6Y4i4K6u0W2j5$3&6Q4x3V1k6A6L8X3k6G2i4K6u0r3x3e0M7H3y4U0p5%4z5e0f1K6y4e0p5I4x3e0N6Q4x3X3g2Z5N6r3#2D9

编辑：左右里

资讯来源：火绒官网

转载请注明出处和本文链接