已建站十年的老牌绿色软件站
不忘初心,坚持每日更新不易!

警惕知名下载站传播病毒,激活工具带毒感染60万计算机

近日,火绒安全团队发现,用户在知名下载站”系统之家”下载安装”小马激活”及”OFFICE2016″两款激活工具时,会被植入病毒”Justler”,该病毒会劫持用户浏览器首页。病毒”Justler”作者极为谨慎,会刻意避开北京、厦门、深圳、泉州四个网络安全监察严格的地区的IP。除这几个地区以外的用户,下载到的软件均可能带毒。据”火绒威胁情报系统”监测和评估,截至目前,该病毒感染量已近60万。

病毒”Justler”通过知名下载站”系统之家”(xitongzhijia.net)传播。当用户试图下载”小马激活”及”OFFICE2016″两款激活工具时,”系统之家”会识别访问IP,当用户IP地址不属于北京、厦门、深圳、泉州四个地区时,则会跳转到被植入病毒代码的软件下载链接。
另外根据跳转链接域名,我们进一步发现了一个站点名同为”系统之家”(win.100ea.com)的网站。而该网站中提供的系统盘也同样携带病毒”Justler”。
一旦运行”小马激活工具”、”OFFICE 2016激活工具”安装包,病毒”Justler”也随之被激活。之后,该病毒将篡改被感染电脑的浏览器首页,劫持流量。

利用激活工具和系统盘进行传播病毒和流氓软件的现象有逐渐增多趋势。由于激活工具通常是装机后首先安装的软件,因此此类病毒和流氓软件利用介入时机更早的优势与安全软件进行对抗。

本次截获的病毒样本将自己伪装成了小马激活工具,在运行原版小马激活工具的同时,还会释放加载恶意驱动进行流量劫持。样本来源为名叫 “系统之家”的软件站(www.xitongzhijia.net),该站点在百度搜索”系统之家”后的搜索结果排名中居于首位,且被标注有”官网”标志。百度搜索”系统之家”后的搜索结果,如下图所示:

Justler

受影响浏览器列表,如下图所示:

Justler

恶意驱动首先会对加载映像的文件名进行检测,检查是否为浏览器文件名,之后对其父进程进行检测查看父进程是否为桌面进程(包括系统explorer、360桌面助手和360安全桌面),如果父进程是桌面进程则会对启动参数进行劫持。

亿破姐

提醒大家现在网上很多五花八门的激活工具,国内也出过一些经典的激活工具比如小马激活工具,不过现在的此小马非彼小马,小马在2014年就发布声明不在做激活工具,而且也就出品了2款激活工具Oem7、KMS8 ,现在市场上出现 的什么小马Win10激活工具,KMS10激活工具都是假的,在2017年12月的时候部分山寨版国外KMSpico激活工具暗藏后门和挖矿程序,就是你使用这款假冒的KMSpico激活系统后就被植入了病毒,所以亿破姐建议大家不要乱下载激活工具。

亿破姐这里收集的激活工具都是正品的激活工具绝对不会捆绑主页,后门,病毒之类的,所发资源都是亿破姐亲自测试多次无流氓行为才发布出来的,大家下载激活工具就来亿破姐。

赞(1040)

这些信息可能会帮助到你: 下载帮助 | 报毒说明 | 进站必看 | 关于我们

版权声明:本文采用知识共享 署名4.0国际许可协议 [BY-NC-SA] 进行授权
文章名称:《警惕知名下载站传播病毒,激活工具带毒感染60万计算机》
文章链接:https://www.ypojie.com/4239.html
免责声明:根据《计算机软件保护条例》第十七条规定“为了学习和研究软件内含的设计思想和原理,通过安装、显示、传输或者存储软件等方式使用软件的,可以不经软件著作权人许可,不向其支付报酬。”您需知晓本站所有内容资源均来源于网络,仅供用户交流学习与研究使用,版权归属原版权方所有,版权争议与本站无关,用户本人下载后不能用作商业或非法用途,需在24个小时之内从您的电脑中彻底删除上述内容,否则后果均由用户承担责任;如果您访问和下载此文件,表示您同意只将此文件用于参考、学习而非其他用途,否则一切后果请您自行承担,如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。
本站是非经营性个人站点,所有软件信息均来自网络,所有资源仅供学习参考研究目的,并不贩卖软件,不存在任何商业目的及用途,网站会员捐赠是您喜欢本站而产生的赞助支持行为,仅为维持服务器的开支与维护,全凭自愿无任何强求。