前段时间,萝卜哥谈到了部分网站制作假冒的番茄花园、雨林木风等知名ghost系统并传播的问题,关于假冒这个话题,其实由来已久。
无论是人,还是某个产品,只要出名了,便有了利用的价值,软件也是这样,软件的假冒并不仅仅局限于系统软件,还涉及到许多应用软件,就比方说激活系统的激活工具。
在大多数人的眼中,激活工具往往就是小马激活、MicroKMS这些,但其实流行的激活工具还有很多种,总体来说,大部分从国外流入,也有部分由国人自己制作。
制作激活工具的作者一般都是大神级别的人物,他们本着奉献精神的原则,免费分享了自己的劳动成果,不过这些成果却被某些别有用心的人利用,成了他们传播病毒的载体。
国家计算机病毒应急处理中心就曾经发布过一则消息,指出了有人利用暴风激活传播病毒的问题。
那么我们先搞清楚,什么是暴风激活?
为了弄清楚这个问题,萝卜哥首先需要下载一个暴风激活工具。
这是通过百度搜索搜到的内容,萝卜哥点开了第一个搜索结果,期间,浏览器一个劲提示网站包含病毒。
这是一家名为系统之家激活工具的下载网站,除了提供暴风激活,还提供小马激活,KMS激活等工具的下载,激活产品涵盖了Windows系统和Office各大版本!可谓非常广泛!
在网站最显眼位置,用红色醒目字体提示着:为防止杀毒软误报误杀,请务必先退出360、腾讯管家等杀毒软件,再去下载激活。
下载结果,正如萝卜哥猜测的,安装的火绒直接给杀掉了,在废了九牛二虎之力后,萝卜哥终于见到了暴风激活的真面目。
还没进行激活操作,萝卜哥就隐隐约约看到了不妙之处,因为桌面在不停刷新,打开浏览器,果不其然,首页被篡改了!
其实关于暴风激活病毒的攻击过程,早已有人研究过,原来,该木马运行之后会将病毒文件释放到Mlxg_km目录下面,有人称之为麻辣香锅病毒。
麻辣香锅病毒攻击手法十分隐秘。为顺利躲过系统检测,它所释放的所有病毒文件均携带伪造的数字签名。
该病毒的病毒作者设置了两个恶意驱动,其中KMDF_LOOK.sys阻止浏览器进程加载安全模块,而KMDF_Protect.sys则如同一个守门人,拒绝病毒进程之外的所有请求,以保护病毒文件;除此之外,还会注册一个名为Windows Mobile User Experience Server的系统服务,用于病毒升级。
暴风激活本身不带病毒,但是经过网络黑客的二次加工过后,已经晋升为他们传播病毒,获取利益的最佳载体。
其实暴风激活并不孤单,其他激活工具也同样遇到了这种手法,在火绒2018年发布一则公告就显示,同样有人利用小马激活传播病毒,并且已经感染用户近60万。
小马激活病毒会进行选择性感染,除了不感染北上广深用户外,其他地区用户都是它的感染目标,至于什么原因,大概是觉得这些地方网络科技互联网公司多,害怕被揭露吧!
在系统之家激活工具网站,一共提供了这些激活工具,萝卜哥猜测大概都已经夹带了“私货”,感兴趣的可以测试一下!
综上所述!萝卜哥给大家总结出来的经验就是:下载激活工具,请尽量不要随意百度,毕竟各种网站良莠不齐,无法保证质量,激活工具下载首选胡萝卜周博客!
文章转载自微信公众号:胡萝卜周
