木馬冒充「小馬激活」 誘騙用戶關閉360後感染電腦

近日有大量網友舉報，稱下載「小馬激活」工具後電腦感染木馬病毒。據360安全中心監測，網友下載「小馬激活」的「官網」實為木馬網站，下載的小馬激活程序中已經被打包木馬。在誘騙網友手動關閉360後，程序中的木馬便在電腦中運行，安裝推廣軟體、竊取電腦及帳號數據。

 

 

圖1：小馬官網早已停止小馬激活的更新

 

木馬網站，以假亂真

 

小馬激活oem系列工具，能夠一鍵解決全部Windows系統激活問題，實現永久離線激活，因此得到大量國內用戶的青睞。但事實上，早在2014年小馬激活就已經停止更新，並且小馬官網也不再提供下載途徑。當前網絡上的「小馬激活下載官網」，悉數是盜版的木馬網站，它們通過付費推廣獲得搜索頁面中的前排位置，迷惑網友進入並下載帶毒的程序。

 

 

 

圖2：虛假的小馬激活網站

 

 

 

圖3：與官網網址極為相似的小馬激活木馬網站

 

小馬激活的假冒網站偽裝的十分逼真。除了佔據搜索頁面前排，它們還有著與官方網站極為相似的域名，幾乎可以以假亂真。

不僅如此，為防止被安全軟體查殺，木馬網頁還會「善意」的提醒下載網友：小馬激活工具會被360攔截，建議網友在關閉360的前提下下載、運行該工具。然而當用戶關閉360後，木馬便會開始運轉，在電腦內靜默安裝東方輸入法等多款推廣軟體。

 

木馬深度潛伏，極難查殺

 

技術分析顯示，此類木馬隱蔽性極強，因為程序本身不具備明顯的惡意行為，能繞過90%以上殺毒軟體的檢測。但是，攻擊者已經在文件附帶的圖片中植入了大量病毒代碼，只要接到正確的「接頭暗號」，就能啟動並接受攻擊者的雲端控制，伺機靜默安裝軟體或竊取用戶資料。

據Google旗下全球殺毒掃描平臺VirusTotal於今年5月的檢測，國內外56款殺毒軟體中，只有5款能夠完全查殺此類木馬，國內更是僅有360獨家查殺。這也是小馬激活的木馬網站刻意提醒網友要關閉360的原因。

 

 

 

圖4：盜版小馬激活oem工具含木馬

 

360安全衛士官方微博提醒廣大網友，千萬不要冒險運行「小馬激活」木馬，以免對電腦數據和帳號造成不可挽回的損失。如果電腦已於近期出現自動安裝陌生軟體的現象，則應該使用專業的安全軟體進行全方位的查殺，防止有木馬潛伏。