作為“灰色軟件”，激活工具一直就是網絡病毒滋生和傳播的一大渠道，甚至一些病毒披著激活工具的外衣，不僅干著損壞用戶利益的行為，還囂張的與安全軟件做對抗，并不斷升級對抗手段。就在近日，火絨監測到了一批隱匿在“激活工具”里的“麻辣香鍋”病毒變種。和以往不同的是，該版本的病毒除了劫持用戶流量以外，還會劫持安全廠商提供的專殺工具的下載地址（如火絨的專殺工具），從而能夠長久駐留用戶電腦中。火絨查殺圖

目前，火絨s.huorong.cn/thread-18575-1-1.html）

一、病毒溯源

火絨工程師對此次版本“麻辣香鍋”病毒進行詳細分析：惡意代碼執行流程，如下圖所示：惡意代碼執行流程

病毒驅動主要邏輯，如下圖所示：病毒驅動主要邏輯

病毒執行的具體行為過程：首先，上述激活工具啟動后，會檢測殺軟進程，誘導用戶退出殺軟。如下圖所示：檢測殺軟進程，誘導用戶退出殺軟

被檢測的安全軟件，如下圖所示：被檢測的安全軟件緊接著，當用戶在退出殺軟，并成功安裝激活工具的情況下，病毒同時也被激活，釋放bf.exe。被bf.exe釋放的文件及用途，如下圖所示：被bf.exe釋放的文件最后，病毒將會執行以下幾個惡意行為：（1）流量劫持

該病毒會根據劫持規則，劫持相關網站，具體過程如下：病毒驅動會將惡意代碼注入到svchost.exe進程中，之后病毒驅動會將所有網絡流量數據發送到被注入的svchost.exe進程，由惡意代碼判斷網絡流量數據和進程名稱是否滿足劫持條件。只有進程和網絡流量數據同時滿足劫持條件時，才會執行劫持邏輯。被注入進程與病毒驅動設備情況，如下圖所示：注入惡意代碼到svchost.exe進程中病毒驅動劫持流量代碼，如下圖所示：劫持流量代碼

病毒驅動把獲取到的網絡流量數據發送到“svchost.exe”，讓其判斷是否劫持用戶流量數據，如下圖所示：檢測用戶流量數據

根據正則匹配劫持的網址格式，如下圖所示：劫持的網址格式規則匹配成功后會篡改用戶流量數據，比如下載火絨專殺工具會被篡改成跳轉到火絨官網，如下圖所示：篡改用戶流量數據相關代碼

篡改用戶流量數據（2）劫持瀏覽器啟動參數病毒驅動的進程啟動回調一旦檢測到有瀏覽器進程啟動，就會對其注入惡意代碼，劫持瀏覽器首頁。受該病毒影響的瀏覽器進程，如下圖所示：受該病毒影響的瀏覽器進程注入惡意代碼劫持瀏覽器啟動參數，相關進程鉤子情況，如下圖所示：注入惡意代碼劫持瀏覽器啟動參數（3）篡改瀏覽器配置

該病毒會釋放各類瀏覽器配置文件，篡改瀏覽器收藏夾，如下圖所示：被篡改的瀏覽器收藏夾情況

受到此惡意行為影響的瀏覽器，如下圖所示：受影響的瀏覽器

總的來說，此次激活工具攜帶的“麻辣香鍋”病毒，將會給用戶帶來以下這樣幾個危害后果：其一：誘惑用戶退出殺軟，影響用戶的正常網絡安全。其二：劫持流量，會拖慢用戶計算機的網絡訪問速度。其三：病毒在用戶瀏覽器收藏夾中添加自己的推廣網址。其四：病毒劫持安全廠商的專殺下載地址，持續存在于受害者設備上，長期影響用戶終端的信息安全。

二、激活工具溯源

火絨工程師又對傳播上述激活工具網站進行溯源，發現該網站提供多個激活工具的下載，經分析后發現均攜帶文中提及的“麻辣香鍋”病毒。并且，在該網站首頁顯眼位置，就有提示用戶退出安全軟件的提示和關閉防護的教程；而在網站底部，則有各類安全檢測證明的標識。而更諷刺的是，該網站還在搜索引擎上購買排名，引導用戶下載帶毒的

目前，火絨已對該網站進行攔截。實際上，利用激活工具傳播病毒或捆綁流氓軟件，攫取、損壞用戶的利益，已經成為當下成熟的灰色產業，火絨也一直在對此類散播病毒的渠道進行披露曝光，并及時升級查殺攔截規則，幫助用戶避免遭遇病毒侵害。在此，我們也提醒廣大網友，盡量不要使用激活工具等灰色軟件，切勿在沒有安裝安全軟件情況下點擊不明來源的軟件，如果有任何問題，可隨時尋求火絨工程師的幫助。

三、病毒hash

補充閱讀鏈接（1）激活工具散播鎖首病毒“麻辣香鍋“ 誘導用戶退出安全軟件（2）一文揭露各類劫持瀏覽器主頁手段 附火絨修復方式

冷鏈服務業務聯系電話：19937817614

華鼎冷鏈是一家專注于為餐飲連鎖品牌、工廠商貿客戶提供專業高效的冷鏈物流服務企業，已經打造成集冷鏈倉儲、冷鏈零擔、冷鏈到店、信息化服務、金融為一體的全國化食品凍品餐飲火鍋食材供應鏈冷鏈物流服務平臺。

標簽:

食品安全網

上一篇：【浪吳忠】吳忠排名前十的麻辣燙，最后一名你絕對想不到！

下一篇：麻·辣·鮮·香 麻辣香鍋加盟天花板-王記香滿棠