假防毒軟體偽裝工程及科學軟體註冊碼產生器

在過去幾週裡,趨勢科技看到了TROJ_GATAK.FCK的感染數量在增加。在檢視其可能原因時,我們發現該惡意軟體會以各種應用程式的註冊碼產生器面貌出現。從昂貴、專業的工程和科學軟體到多媒體編輯工具、效能評比軟體甚至是遊戲都有:

 

  • AVEVA_PDMS_v12_0_keygen.exe
  • AllData_10_40_keygen.exe
  • Bigasoft_MKV_Converter_3_7_18_4668_keygen.exe
  • CambridgeSoft_ChemBioOffice_Ultra_v13_0_Suite_REMEDY_keygen.exe
  • Cockos_REAPER_4_581_Final_keygen.exe
  • Fireplace_3D_Screensaver_and_Animated_Wallpaper_3_0_keygen.exe
  • GeekBench_2_2_3_keygen.exe
  • Guaranteed_PDF_Decrypte_v3_11_keygen.exe
  • Macrium_Reflect_Professional_5_2_6433_keygen.exe
  • Magical_Diary_Horse_Hall_keygen.exe
  • Nuance_Dragon_Naturallyspeaking_12_0_Premium_Iso_keygen.exe
  • Oloneo_PhotoEngine_v1_0_400_306_keygen.exe
  • RadioSure_Pro_2_2_1004_0_keygen.exe
  • Reg_Organizer_6_11_Final_Portable_keygen.exe
  • The_Bat_Home_Edition_5_0_24_keygen.exe
  • The_Precursors_1_1_keygen.exe
  • Wolfram_Mathematica_9_keygen.exe

如果使用者下載並執行這個檔案(認為它是個註冊碼產生器),它會植入檔案到%APPDATA%資料夾,並建立一個相對應的自動啟動註冊碼。

該植入檔案偽裝成和Google Talk或Skype相關的合法檔案;它也可能會使用一常見名稱AdVantage.exe。它植入一個已加密檔案到%Application Data%\Microsoft內的隨機生成資料夾。之後會解開到記憶體裡。

此解密檔案包含shellcode和用來下載其他檔案的網址。有些變種會下載包含加密代碼的圖檔,看起來就像下圖。像是來自斯里蘭卡的照片:

圖一、下載的圖檔

此一特定攻擊的後果是假防毒軟體TROJ_FAKEAV.SMWV,就跟所有的假防毒軟體一樣,會出現假的病毒偵測警報,要求使用者付費以清理病毒。假防毒軟體已經從幾年前的鼎盛時期開始有顯著的下降(部分原因是它們的支付系統被破解)。從那之後,它先是被警察勒索軟體所超越,最近幾個月則是被CryptoLocker蓋過。但我們當時所分享的建議仍然可以有效的對抗這類威脅,如果它們再次出現在世上。

趨勢科技的主動式雲端截毒技術會封鎖所有相關惡意網址以防止惡意檔案被下載或執行,以保護使用者免於此類威脅。

@原文出處:Keygens For Engineering, Scientific Software Leads To FAKEAV作者:Jeffrey Bernardino(威脅研究員)