近期，韩国知名在线文件共享服务网站 Webhards 出现了一种新型恶意软件，这款恶意软件本质上是伪装成 Windows 激活工具的 BitRAT 远程访问木马。

在这款恶意工具压缩包内部，一共包含三个文件，其中“W10DigitalActivation.exe”为真实的激活工具，而另一个“W10DigitalActivation_Temp”则是木马病毒。

在用户运行激活工具的同时，恶意程序也会一起执行，从而给受害者一种激活工具很安全的感官错觉。

而当木马执行之后，会通过命令和控制服务器下载其他恶意文件，并将其添加到开机启动项中。

这样一来，受害者的电脑也就成为了木马窃取个人隐私和恶意弹窗广告的平台。

一直以来，由于微软对 Windows 激活工具的放任，使得网络上出现了大量参差不齐、鱼目混珠的激活工具，虽然部分激活工具很安全，但更多的是有一部分不法分子利用这一机会制造木马进行恶意传播。

除了韩国，其实我国也是 Windows 系统盗版现象非常严重的国家之一，长期一来，大部分国人都使用着由激活工具激活的非官方授权系统，激活工具拥有广泛的用户市场。因此国内这些木马病毒制造者同样愿意在激活工具上下心思。

火绒在 2016 年就报道过一次有人利用“小马激活”实施病毒传播的事件（点击底部阅读原文查看）。

这款“小马激活”病毒在当时传播非常广泛，其后甚至演变出了五个变种，但无论如何更新换代和演变，总之万变不离其宗，这款病毒的目的就是在用户电脑中通过篡改浏览器主页以及为桌面添加快捷方式的手段实施流量变现。

在火绒这份几千字报告中还提到，“小马激活”病毒与一家叫做阳泉市 XXXX 有限责任公司有着千丝万缕的关系。在这家公司的简介中，我们看到，这家公司主要从事电脑图文设计、网站制作、广告、电脑软件开发等。

当然，以上只是这家公司对外所宣传的业务范围，其重点还是落在以木马病毒传播为主要核心的黑色产业链上。

那么 6 年过去了，这些打着激活工具名义的病毒木马是否还存在呢？

为了搞清楚这一点，阿影在百度搜索上以”kms 激活“为关键词进行了相关的搜索。

搜索结果的第一页顶部位置，是百度发布的两个竞价排名推广位，头条排名发布公司叫做湛江市余鲜家水产品有限公司，次条排名发布公司为郴州航景电子商务有限公司。

在分别点开这两个推广链接之后，阿影发现，两个推广网址虽然不完全相同，但网页内容居然出奇的一致，不难看出，百度发布的这两个推广位本质属于一个公司。在推广网站首页顶部位置，存在非常显眼的”使用工具前，请退出安全软件“的提示。

网站上提供了多款不同激活工具的下载，网站甚至还声称可以全面支持 Windows 及 Office 全系列。为了验证这里下载的激活工具是否夹杂木马病毒程序，阿影特地下载了全部的三款激活工具。

在解压之后，火绒瞬间拦截并删除了激活文件，为了更安全地测试，阿影挑选了其中的一款”小马激活“，并在虚拟机中进行了激活测试。实验证明，这款”小马激活“确实存在篡改浏览器首页行为。

更有意思的是，阿影在打开”郴州航景电子商务有限公司“的公司官网 www.czuis.cn 之后还发现，这家公司官网居然和 6 年前火绒提到的阳泉市 XXXX 有限责任公司官网介绍完全雷同

这不禁让人怀疑，这家 6 年前就已经被火绒全网曝光的病毒制作公司是否在改头换面之后再度归来?

更令我诧异的是，这种以病毒传播为目的的公司居然还能通过百度的资格审查让百度为他光明正大地搞病毒推广。

总结

根据阿影多年的互联网经验，一般正常的 Windows 激活工具在激活过程中除了 Windows Defender 之外，都不需要退出安全软件，凡是想千方百计引导用户退出安全软件的激活工具往往不怀好意，最好不用！

大家在下载激活工具的时候也要睁大双眼，不要去不认识的陌生网站下载任何软件工具。