虽然现代人的版权意识相比过去来说强了很多，但基於投机与贪小便宜的心理很多人在安装作业系统或是软体时，总会想找看看有没有破解版、免费版。近日，安全研究单位发现了一种新的恶意软体活动，以 Windows 作业系统产品金钥破解工具的形式伪装，实际上却是 BitRAT 或是远端访问的木马程式。

这个 Windows 金钥破解器其实是远端木马程式

安全研究机构 ASEC 近日发现特殊 LUALAR RAT，透过韩国线上档案共享服务 Webhards 传播，档案名称直接点名是可以快速安装的 Windows 金钥验证器。众所周知，破解版和盗版软体中常常会夹带侵入硬体设备的恶意软体， 但许多人往往不会认真去看待这些常识性的问题，或者不想要花钱购买 Windows 金钥，因此恶意软体制造者还是会继续透过此类手段生产和传播恶意软体。

▲在韩国网站上的 Windows 金钥验证器发文

当毫无戒心的用户下载了名为「Program.zip」的档案後只需要输入「1234」的密码即可解锁并解压缩，其中包含有一个名为「W10DigitalActivation.exe」的档案，外观上看起来就跟常见的破解器差不多。

▲压缩档中所包含的档案

「W10DigitalActivation.exe」是一个 7z SFX 档，其中包含一个名为「W10DigitalActivation.msi」的实际验证工具和名为「W10DigitalActivation_Temp.msi」的恶意软体。当使用者在该 exe 档上按两下时，它将同时安装把两个 msi 档安装到电脑上，由於恶意软体和验证工具同时运行，因此使用者会误以为该工具正常运行。

▲7z SFX档中的恶意软体

此金钥验证工具中还配备了其他功能，无论如何都不是表面上看起来那麽简单的程式。如下图所示，其功能之一是利用 powershell 命令将 Windows 启动程式资料夹（安装下载程式的位置）设定为 Windows Defender 的排除路径，并将 BitRAT 进程名称「Software_Reporter_Tool.exe」新增到 Windows Defender 的排除项目中。

最终安装的恶意软体名为 BitRAT 的远端访问特洛伊木马病毒，自 2020 年以来，BitRAT一直透过骇客论坛对外出售，并不断被攻击者使用。由於 BitRAT 是用在远端访问的木马，因此攻击者可以控制受感染的系统。BitRAT 不仅提供运行进程任务、服务任务、档案任务和远端命令等基本控制功能，还提供各种资讯窃取功能、HVNC（隐藏桌面）、远端桌面、挖矿和 代理伺服器等额外选项。

▲BitRAT 的 C&C 控制介面

所以，希望大家提高警觉，谨慎面对网路上各种免费、破解版等盗版软体，不要被贪小便宜的心态左右，以免因小失大造成自己在财物上与个资方面的损害。