激活工具購買搜索排名 傳播“麻辣香鍋”變種病毒 火絨已攔截

作為“灰色軟件”，激活工具一直就是網絡病毒滋生和傳播的一大渠道，甚至一些病毒披著激活工具的外衣，不僅干著損壞用戶利益的行為，還囂張的與安全軟件做對抗，并不斷升級對抗手段。

就在近日，火絨監測到了一批隱匿在“激活工具”里的“麻辣香鍋”病毒變種。和以往不同的是，該版本的病毒除了劫持用戶流量以外，還會劫持安全廠商提供的專殺工具的下載地址（如火絨的專殺工具），從而能夠長久駐留用戶電腦中。

火絨查殺圖

目前，火絨已對該版本的“麻辣香鍋”病毒以及病毒利用傳播的激活工具進行攔截和查殺。已感染該病毒的用戶，可以下載火絨專殺工具清除病毒，同時配合火絨【全盤掃描】功能徹底查殺該病毒。（專殺下載地址：https://bbs.huorong.cn/thread-18575-1-1.html）

一、病毒溯源

火絨工程師對此次版本“麻辣香鍋”病毒進行詳細分析：

惡意代碼執行流程，如下圖所示：

惡意代碼執行流程

病毒驅動主要邏輯，如下圖所示：

病毒驅動主要邏輯

病毒執行的具體行為過程：

首先，上述激活工具啟動后，會檢測殺軟進程，誘導用戶退出殺軟。如下圖所示：

檢測殺軟進程，誘導用戶退出殺軟

被檢測的安全軟件，如下圖所示：

被檢測的安全軟件

緊接著，當用戶在退出殺軟，并成功安裝激活工具的情況下，病毒同時也被激活，釋放bf.exe。

被bf.exe釋放的文件及用途，如下圖所示：

被bf.exe釋放的文件

最后，病毒將會執行以下幾個惡意行為：

（1）流量劫持

該病毒會根據劫持規則，劫持相關網站，具體過程如下：

病毒驅動會將惡意代碼注入到svchost.exe進程中，之后病毒驅動會將所有網絡流量數據發送到被注入的svchost.exe進程，由惡意代碼判斷網絡流量數據和進程名稱是否滿足劫持條件。只有進程和網絡流量數據同時滿足劫持條件時，才會執行劫持邏輯。被注入進程與病毒驅動設備情況，如下圖所示：

注入惡意代碼到svchost.exe進程中 

病毒驅動劫持流量代碼，如下圖所示：

劫持流量代碼

病毒驅動把獲取到的網絡流量數據發送到“svchost.exe”，讓其判斷是否劫持用戶流量數據，如下圖所示：

檢測用戶流量數據

根據正則匹配劫持的網址格式，如下圖所示：

劫持的網址格式

規則匹配成功后會篡改用戶流量數據，比如下載火絨專殺工具會被篡改成跳轉到火絨官網，如下圖所示：

篡改用戶流量數據相關代碼

篡改用戶流量數據

（2）劫持瀏覽器啟動參數

病毒驅動的進程啟動回調一旦檢測到有瀏覽器進程啟動，就會對其注入惡意代碼，劫持瀏覽器首頁。受該病毒影響的瀏覽器進程，如下圖所示：

受該病毒影響的瀏覽器進程 

注入惡意代碼劫持瀏覽器啟動參數，相關進程鉤子情況，如下圖所示：

注入惡意代碼劫持瀏覽器啟動參數

（3）篡改瀏覽器配置

該病毒會釋放各類瀏覽器配置文件，篡改瀏覽器收藏夾，如下圖所示：

被篡改的瀏覽器收藏夾情況

受到此惡意行為影響的瀏覽器，如下圖所示：

受影響的瀏覽器 

總的來說，此次激活工具攜帶的“麻辣香鍋”病毒，將會給用戶帶來以下這樣幾個危害后果：

其一：誘惑用戶退出殺軟，影響用戶的正常網絡安全。

其二：劫持流量，會拖慢用戶計算機的網絡訪問速度。

其三：病毒在用戶瀏覽器收藏夾中添加自己的推廣網址。

其四：病毒劫持安全廠商的專殺下載地址，持續存在于受害者設備上，長期影響用戶終端的信息安全。

二、激活工具溯源

火絨工程師又對傳播上述激活工具網站進行溯源，發現該網站提供多個激活工具的下載，經分析后發現均攜帶文中提及的“麻辣香鍋”病毒。并且，在該網站首頁顯眼位置，就有提示用戶退出安全軟件的提示和關閉防護的教程；而在網站底部，則有各類安全檢測證明的標識。

 而更諷刺的是，該網站還在搜索引擎上購買排名，引導用戶下載帶毒的激活工具。在搜索“激活工具”“系統激活”等關鍵詞時，均可以在首頁首條發現其推廣信息。而根據“火絨威脅情報系統”監測，已有數萬用戶通過該網站的激活工具，感染“麻辣香鍋”病毒。

購買搜索排名

目前，火絨已對該網站進行攔截。

實際上，利用激活工具傳播病毒或捆綁流氓軟件，攫取、損壞用戶的利益，已經成為當下成熟的灰色產業，火絨也一直在對此類散播病毒的渠道進行披露曝光，并及時升級查殺攔截規則，幫助用戶避免遭遇病毒侵害。在此，我們也提醒廣大網友，盡量不要使用激活工具等灰色軟件，切勿在沒有安裝安全軟件情況下點擊不明來源的軟件，如果有任何問題，可隨時尋求火絨工程師的幫助。

三、病毒hash