某讯御见威胁情报中心检测到一款Office激活工具被捆绑传播远程控制木马,该Office激活工具实际经过二次打包,黑客将恶意代码和正常的激活程序打包在资源文件中,当用户运行时,除了激活程序会运行,内置的Powershell恶意代码也会运行。该盗版激活工具会在后台下载远程控制木马运行,木马会搜集敏感信息上传并对电脑进行远程控制。
黑客将Powershell脚本代码(lnk文件)和真正的激活工具程序同时藏在资源文件中,生成新的“激活工具”,目标用户运行被重新打包的激活程序时,执行恶意脚本代码的lnk文件被释放运行。
资源文件
资源文件中包含的lnk文件信息
激活工具运行时从资源文件中释放lnk文件:
Lnk文件执行恶意Powershell脚本代码:
