[转载蓝点网消息]黑产团伙利用远景论坛传播携带病毒的系统镜像劫持用户

LeakerLand.S

内容来自蓝点，因为疑似与远景论坛有关，所以转载。
火绒安全最新发布的分析报告称有黑产团伙将病毒植入系统镜像，然后通过远景论坛传播镜像诱导用户下载。
这些系统镜像本身已被植入病毒所以在安装后就会被激活，目前被发现的恶意行为主要是用于劫持用户获利。
并且黑产团伙还特别针对360 安全卫士进行处理，拦截该软件云查杀模块使得自身无法被检测出异常和查杀。
火绒提供的恶意镜像帖子：

黑产团伙利用远景论坛传播携带病毒的系统镜像劫持用户，拦截安全软件联网查杀。
火绒发现病毒释放的驱动文件携带山东安在信息技术有限公司数字签名，数字签名有助于降低被拦截的概率。当然病毒模块自身的文件并没有任何数字签名，疑似安在信息公司开发的某些软件遭到黑产团伙的恶意利用。释放的病毒模块首先会检测用户安装的各个安全软件，然后利用安在信息开发的过滤模块拦截安全软件通信。受影响的包括所有主流安全软件，但不同安全软件联网查杀和离线查杀机制不同， 受影响较大的主要是360。黑产团伙利用远景论坛传播携带病毒的系统镜像劫持用户
劫持网站并劫持用户下载的软件包：

目前被检测到病毒模块主要恶意行为就是劫持，包括劫持各类电商网站换成返利链接然后从用户购买里获利。至于国内各种常见的网址导航那么是百分百会被劫持的,  例如把用户设置的其他网址导航换成2345网址导航。另外用户下载某些特定软件也会被病毒劫持并替换为带计费名安装包，用户安装后病毒开发者可以获得分成。
有疑虑的用户可直接下载下载火绒专杀工具查杀：https://www.huorong.cn/download/tools/hrkill.exe
黑产团伙利用远景论坛传播携带病毒的系统镜像劫持用户，以自动激活为名目吸引用户下载。
蓝点网搜索发现黑产团伙在远景论坛发帖称这是原本镜像自动激活，其实里面内置的主要是 KMS 激活工具。
除远景论坛发帖传播外黑产团伙还将带毒镜像在各个技术社区传播，不过看起来整体下载量应该并不是很大。
在此也提醒用户谨慎从网上下载别人制作的系统镜像，尤其是标题中带自动激活字眼的不少都是内含大坑的。
疑似涉及用户：
https://i.pcbeta.com/space-uid-1006388.html
疑似涉及帖子：
https://bbs.pcbeta.com/viewthread-1789701-1-1.html
建议管理员先行查封

edmondedk

这么快就找到了

handle

若属实请封禁

edmondedk

handle 发表于 2019-1-17 22:18
若属实请封禁

这封禁没啥用啊，一级用户，随便仍上来一个贴，这种犯罪成本不要太低，封了再注册个号就是了，反正都有人下。另外这种黑产隐蔽性很高，可能半年都发现不了有问题。

正义羊

已对相应会员作永久禁访处理。

bgates

半年前的帖子了，还好从来都是原版镜像安装……

xiaogao

说实话，都是激活惹的祸！还是自己安装原版，再正版激活安全！！！！

LONGHONG

必須永久禁访处理。

nicolas07cn2002

专杀工具    https://bbs.pcbeta.com/viewthread-1803913-1-1.html

LeakerLand.S

正义羊 发表于 2019-1-17 22:43
已对相应会员作永久禁访处理。

感谢及时响应

tedrick

jonsee198521 这人混远景很久了，记得发过的WIN8的KMS激活工具就加料~不知是不是ID转手或是被盗用， 技术分不少，如果一直是他本人使用，不知什么傻子加的

yyjpcx

一直 不敢用新人的工具  系统    只用口碑好  等级高坛友的  毕竟大家的信任度高点

jolly.chang

感谢分享，还是原版安心一点啊！

远方的天使

好在我只装最新内测版，回想起来冷不丁感到细丝极孔

neversayno0000

必須永久禁访

Winston1027

不是实名了吗，可以报公安了，这是犯罪行为啊。

rubycon

这个感觉很可怕啊

menarche

建议大家安装微软原版镜像，X宝买号激活或网上找号激活。

SVIPA

我发现某宝有倒卖我们的邀*码 管理也该查查谁邀请的用户违规直接封上家了事

本人老牛吃嫩草

提醒广大用户安装原版系统才是正道，或者自己动手精简。