主要在中國(guó)活動(dòng)的惡意軟件開始向全球擴(kuò)散，習(xí)慣下載安裝破解軟件的用戶比較容易“中招”。網(wǎng)絡(luò)世界處處有陷阱！

據(jù)外媒報(bào)道，Bitdefender網(wǎng)絡(luò)威脅情報(bào)實(shí)驗(yàn)室（Bitdefender CyberThreat Intelligence Lab）表示，一款主要在中國(guó)活動(dòng)的惡意軟件Scranos已開始影響全球用戶。

該公司最新的報(bào)告表示，這款惡意軟件使用rootkit驅(qū)動(dòng)程序進(jìn)行攻擊，許多組件目前處于開發(fā)的早期階段。研究人員發(fā)現(xiàn)，惡意軟件背后的操作人員不斷測(cè)試組件，并定期改進(jìn)，不同的組件用于實(shí)現(xiàn)不同的目的。

已發(fā)現(xiàn)惡意軟件會(huì)進(jìn)行以下操作：

●從Google Chrome、Chromium、Mozilla Firefox、Opera、Microsoft Edge、Internet Explorer、百度瀏覽器和Yandex瀏覽器中提取cookie并竊取登錄憑證；

●從Facebook、Amazon和Airbnb的網(wǎng)頁(yè)上竊取用戶的支付賬戶；

●從用戶的Facebook帳戶向其他帳戶發(fā)送好友請(qǐng)求；

●向受害者的Facebook好友發(fā)送含有惡意APK的釣魚信息，并感染安卓用戶；

●竊取用戶Steam帳戶的登錄憑證

Bitdefender的研究顯示，惡意軟件通過(guò)木馬程序傳播，偽裝成破解軟件或者合法軟件的應(yīng)用程序，比如電子書閱讀器、視頻播放器、驅(qū)動(dòng)程序，甚至是反惡意軟件產(chǎn)品。惡意軟件通過(guò)rootkit驅(qū)動(dòng)來(lái)長(zhǎng)時(shí)間隱藏在設(shè)備中，以便繼續(xù)下載和安裝其他組件。

報(bào)告顯示，該軟件目前在全球都有活動(dòng)跡象，在印度、羅馬尼亞、巴西、法國(guó)、意大利和印度尼西亞更為活躍。研究人員根據(jù)樣本推測(cè)，這一惡意軟件最早于2018年11月開始活動(dòng)，并于12月和1月活動(dòng)更為頻繁。2019年3月，命令和控制服務(wù)器開始推送其他類型的惡意軟件。

rootkit驅(qū)動(dòng)程序包含一個(gè)有效的數(shù)字簽名，并帶有某公司的證書。報(bào)告推斷，最有可能的情況是，該公司不是軟件開發(fā)者，是黑客以欺詐的方式獲得了該證書。

rootkit設(shè)置并創(chuàng)建一個(gè)名為DeviceVideoDriver的設(shè)備，主要用于三個(gè)目的：

●在具有系統(tǒng)權(quán)限的svchost.exe進(jìn)程中解密并注入下載程序；

●使用底層文件系統(tǒng)操作刪除指定的文件；

●注冊(cè)一個(gè)IRP_MJ_SHUTDOWN函數(shù)，用于保證rootkit在受感染系統(tǒng)中的持久性。在每次系統(tǒng)關(guān)閉時(shí)，rootkit在磁盤和注冊(cè)表中進(jìn)行重寫，以防被刪除。

所以，如果你習(xí)慣下載安裝破解軟件，下載之前要慎重！