火绒安全最新发布的分析报告称有黑产团伙将病毒植入系统镜像,然后通过远景论坛传播镜像诱导用户下载,这些系统镜像本身已被植入病毒所以在安装后就会被激活,目前被发现的恶意行为主要是用于劫持用户获利,并且黑产团伙还特别针对360 安全卫士进行处理,拦截该软件云查杀模块使得自身无法被检测出异常和查杀。
火绒提供的恶意镜像帖子:
拦截安全软件联网查杀:
火绒发现病毒释放的驱动文件携带山东安在信息技术有限公司数字签名,数字签名有助于降低被拦截的概率,当然病毒模块自身的文件并没有任何数字签名,疑似安在信息公司开发的某些软件遭到黑产团伙的恶意利用,释放的病毒模块首先会检测用户安装的各个安全软件,然后利用安在信息开发的过滤模块拦截安全软件通信,受影响的包括所有主流安全软件,但不同安全软件联网查杀和离线查杀机制不同, 受影响较大的主要是360。
劫持网站并劫持用户下载的软件包:
目前被检测到病毒模块主要恶意行为就是劫持,包括劫持各类电商网站换成返利链接然后从用户购买里获利,至于国内各种常见的网址导航那么是百分百会被劫持的, 例如把用户设置的其他网址导航换成2345网址导航,另外用户下载某些特定软件也会被病毒劫持并替换为带计费名安装包,用户安装后病毒开发者可以获得分成。
有疑虑的用户可直接下载下载火绒专杀工具查杀:https://www.huorong.cn/download/tools/hrkill.exe
以自动激活为名目吸引用户下载:
win10之家搜索发现黑产团伙在远景论坛发帖称这是原本镜像自动激活,其实里面内置的主要是 KMS 激活工具。除远景论坛发帖传播外黑产团伙还将带毒镜像在各个技术社区传播,不过看起来整体下载量应该并不是很大,在此也提醒用户谨慎从网上下载别人制作的系统镜像,尤其是标题中带自动激活字眼的不少都是内含大坑的,如有镜像下载需求可直接前往微软官网下载,也可以通过MSDN.ITELLYOU.CN网站下载微软原版镜像文件。
