主要在中國活動的惡意軟件開始向全球擴散，習慣下載安裝破解軟件的用戶比較容易“中招”。網絡世界處處有陷阱！

據外媒報道，Bitdefender網絡威脅情報實驗室（Bitdefender CyberThreat Intelligence Lab）表示，一款主要在中國活動的惡意軟件Scranos已開始影響全球用戶。

該公司最新的報告表示，這款惡意軟件使用rootkit驅動程序進行攻擊，許多組件目前處于開發的早期階段。研究人員發現，惡意軟件背后的操作人員不斷測試組件，并定期改進，不同的組件用于實現不同的目的。

已發現惡意軟件會進行以下操作：

●從Google Chrome、Chromium、Mozilla Firefox、Opera、Microsoft Edge、Internet Explorer、百度瀏覽器和Yandex瀏覽器中提取cookie并竊取登錄憑證；

●從Facebook、Amazon和Airbnb的網頁上竊取用戶的支付賬戶；

●從用戶的Facebook帳戶向其他帳戶發送好友請求；

●向受害者的Facebook好友發送含有惡意APK的釣魚信息，并感染安卓用戶；

●竊取用戶Steam帳戶的登錄憑證

Bitdefender的研究顯示，惡意軟件通過木馬程序傳播，偽裝成破解軟件或者合法軟件的應用程序，比如電子書閱讀器、視頻播放器、驅動程序，甚至是反惡意軟件產品。惡意軟件通過rootkit驅動來長時間隱藏在設備中，以便繼續下載和安裝其他組件。

報告顯示，該軟件目前在全球都有活動跡象，在印度、羅馬尼亞、巴西、法國、意大利和印度尼西亞更為活躍。研究人員根據樣本推測，這一惡意軟件最早于2018年11月開始活動，并于12月和1月活動更為頻繁。2019年3月，命令和控制服務器開始推送其他類型的惡意軟件。

rootkit驅動程序包含一個有效的數字簽名，并帶有某公司的證書。報告推斷，最有可能的情況是，該公司不是軟件開發者，是黑客以欺詐的方式獲得了該證書。

rootkit設置并創建一個名為DeviceVideoDriver的設備，主要用于三個目的：

●在具有系統權限的svchost.exe進程中解密并注入下載程序；

●使用底層文件系統操作刪除指定的文件；

●注冊一個IRP_MJ_SHUTDOWN函數，用于保證rootkit在受感染系統中的持久性。在每次系統關閉時，rootkit在磁盤和注冊表中進行重寫，以防被刪除。

所以，如果你習慣下載安裝破解軟件，下載之前要慎重！