火绒安全预警：激活工具潜藏病毒，360与2345浏览器被指强制安装风险

8月30日，火绒安全团队成功截获名为“FakeKMS”的病毒。这个病毒以“小马激活”、“KMS”等知名激活工具为伪装，通过激活工具下载站点进行传播。值得注意的是，该病毒并无激活功能，一旦入侵用户电脑，会迅速劫持浏览器首页，并悄无声息地安装360安全浏览器和2345浏览器，以此来谋取利益。该病毒还能通过内核级对抗手段来躲避安全软件的查杀。

一、概述

火绒产品（个人版、企业版）的最新版本已能查杀该病毒。我们建议近期访问过相关下载网站下载软件的用户，尽快使用火绒产品对电脑进行扫描查杀。

二、样本分析

该病毒将自己伪装成系统激活工具，并通过自建的激活工具下载站点进行传播。与以往同类样本不同的是，该病毒除了执行病毒行为外，并不具备任何激活功能。病毒下载站点如下所示：

（此处插入病毒下载站点图片）

从图中可以看出，该页面有众多激活工具下载链接。然而，经过测试，我们发现用户点击下载后最终跳转到的下载地址均为hxxp://soft.gz5s.com/54/exe/jh/xiaoma201808281210.exe，即无论用户通过哪个下载链接下载，最终获取的都是同一病毒样本。该病毒样本为AutoIt安装包，通过病毒脚本逻辑运行病毒文件及静默软件安装包。病毒脚本如下所示：

（此处插入病毒AutoIt脚本图片）

被该病毒推广的软件包括360安全浏览器和2345浏览器。被推广的软件安装包文件信息如下所示：

（此处插入360浏览器安装包文件信息图片）

（此处插入2345浏览器安装包图片）

病毒在推广软件的同时，还会释放Rootkit病毒劫持浏览器首页，驱动文件名为随机名且没有扩展名，驱动文件还能通过内核级对抗手段躲避安全软件查杀。Rootkit病毒文件如下所示：

（此处插入病毒文件图片）

该病毒被加载后会强行将用户首页劫持为2345网址导航（hxxp://www.iw121.com），被劫持后的首页情况如下所示：

（此处插入被劫持后的浏览器首页图片）

火绒建议广大用户使用正版操作系统，在安装系统后优先安装安全软件，以避免感染此类病毒。

三、附录

文中涉及样本SHA256：