Firma penyelidikan keselamatan ASEC telah menemui kempen perisian hasad baharu yang menyamar sebagai alat pengesahan kunci produk Windows. Dalam samaran ini, alat itu sebenarnya adalah BitRAT atau Trojan akses jauh.
ASEC mendapati bahawa RAT khusus ini diedarkan melalui Webhards, perkhidmatan perkongsian fail dalam talian Korea Selatan. Walaupun perisian retak dan cetak rompak sering menjangkiti peranti dengan perisian hasad, ramai orang cenderung untuk tidak mengambil serius amaran sedemikian, atau mereka mungkin tidak mampu membeli lesen Windows tulen. Akibatnya, pencipta perisian hasad terus mencipta dan mengedarkan perisian hasad dengan cara ini.
Kini, mengetahui cara BitRAT ini berfungsi, ASEC menerangkan bahawa fail zip "W10DigitalActivation.exe" yang dimuat turun mengandungi fail berniat jahat tetapi turut disertakan dengan fail pengaktifan Windows tulen. Fail msi "W10DigitalActivation" nampaknya nyata, manakala fail "W10DigitalActivation_Temp" yang lain ialah perisian hasad (lihat imej di bawah).
Apabila pengguna yang tidak mengesyaki menjalankan fail exe, kedua-dua alat pengesahan sebenar dan fail perisian hasad dilaksanakan secara serentak, memberikan pengguna tanggapan bahawa Alat Pengesahan Kunci Lesen Windows berfungsi seperti yang diharapkan.
Fail malware W10DigitalActivation_Temp.exe kemudian meneruskan untuk memuat turun fail berniat jahat lain daripada pelayan arahan dan kawalan (C&C) dan menghantarnya ke folder Windows Starter melalui PowerShell . Akhir sekali, BitRAT dipasang sebagai fail "Software_Reporter_Tool.exe" dalam folder %temp% dan Windows Defender, menambah laluan pengecualian pada folder Startup dan proses pengecualian untuk BitRAT.
Atas ialah kandungan terperinci Alat Pengesahan Kunci Windows Ini Sebenarnya BitRAT Maut Yang Melangkau Defender. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!