瑞星：国外软件厂商IObit被黑，免费激活码暗藏勒索病毒

内容导航：

瑞星：国外软件厂商IObit被黑，免费激活码暗藏勒索病毒

关于杀毒软件激活码的问题（瑞星与卡巴斯基）

我的瑞星杀毒软件已经过期了，需要激活，谁有免费的激活码？怎么才能弄到激活码？

瑞星杀毒好不好啊 ？

一、瑞星：国外软件厂商IObit被黑，免费激活码暗藏勒索病毒

1月17日下午，瑞星安全研究院捕获到一封钓鱼邮件，邮件以软件厂商IObit“向所有论坛用户免费赠送1年软件授权许可”为由，诱使用户点击进入IObit官方论坛域名下的某一页面，诱导用户下载仿冒激活码却实为DeroHE勒索病毒的压缩包。一旦用户中招，电脑内文件将被加密，同时被要求以Dero币作为赎金，获取解密密钥。

据瑞星安全专家介绍，IObit是国外一家知名的Windows工具类软件开发商，通过分析发现，IObit的论坛服务器遭到了入侵，而攻击者入侵成功后上传了恶意页面及包含DeroHE勒索病毒的压缩包，并向所有IObit官方论坛的注册用户群发钓鱼邮件。邮件主题为“FREE 1 YEAR LICENSE – MEMBERS ONLY”，正文大意为：IObit向所有论坛用户赠送了免费的1年软件授权许可，进而引导用户访问一个链接以获取“激活码”。

而用户访问链接后所下载的压缩包并非“激活码”，实际上是DeroHE勒索病毒，病毒一旦运行会遍历受害者电脑并加密文件，将加密后的文件后缀名被修改为DeroHE，同时还会在桌面上释放两个网页文件，一个存放被加密的文件列表，另一个则是勒索信，攻击者要求受害者用Dero币作为赎金，以换取解密密钥。

图：勒索信内容

虽然目前该论坛下的恶意链接已无法打开，但瑞星公司还是要提醒广大用户，切勿点击陌生邮件或链接，安装有效的杀毒软件，以防被勒索病毒攻击。目前，瑞星所有个人及企业级产品均可对DeroHE勒索病毒进行查杀，瑞星之剑（下载地址：http://.cn/j/）可以有效拦截该勒索病毒。

图：瑞星ESM查杀DeroHE勒索病毒截图

事件详细分析

邮件主题为“FREE 1 YEAR LICENSE – MEMBERS ONLY”，邮件正文大意为IObit向所有论坛用户赠送了免费的1年软件授权许可，并引导用户访问一个链接以获取激活码。

访问链接后可看到如下页面：

图：访问邮件内链接后最终来到的页面

在页面内，点击“DOWNLOAD LICENSE KEY”可以下载到一个压缩包，但压缩包内的东西却并非是激活码，而是一个勒索病毒。

图：压缩包基本信息

图：压缩包解压后内容

如上图，此处是一个经典的“白加黑”手法，内部包含的几个文本文件均引导用户运行“IObit License Manager.exe”程序，该程序实际上为IObit Unlocker（一款文件强力删除工具）的主程序，拥有有效的数字签名。

图：主程序包含有效的数字签名

但“IObit Unlocker.dll”较为可疑，不仅体积较大，修改时间距离当前时间较为接近，而且没有有效的数字签名，而之前的主程序恰好需要使用到该DLL文件。

图：主程序包含的导入表信息

图：恶意DLL基本信息

图：恶意DLL工作流程

图：部分代码

图：部分使用到的字符串

如上文所述，压缩包内的恶意DLL的主要功能只是释放另一个恶意DLL并执行，而真正的恶意行为则存在于释放出来的DLL内。

表：释放出来的DLL的基本信息

释放出来的DLL的工作流程：

设置代理访问。

图：golang配置代理

压缩包解压释放Tor浏览器。

图：解压缩文件

Tor被释放到本机Temp目录下, 随后启动tor连接验证。

图：被释放的Tor组件

遍历磁盘文件路径加密文件。

图：磁盘遍历

加密后的文件后缀名被修改为DeroHE。

图：加密的文件

病毒会在桌面上释放名为FILES_ENCRYPTED.html和READ_TO_DECRYPT.html的两个网页文件，一个存放的是被加密的文件列表，另一个则是勒索信。

图：勒索信内容

勒索信内提到，仅支持Dero币作为支付方式，并且获取解密密钥的方式有以下三种：

告知IObit.com站点要求他们发送10万个Dero币到指定钱包地址，到账后将为所有被加密的计算机进行解密；主动向特定钱包地址发送200个Dero币，并且当Dero币的价格达到100美元/个的时候，攻击者将会返还500美元；访问特定网站完成指定的任务（与社交网络活动相关）；

此外病毒还会修改系统壁纸，相关壁纸存放在系统临时目录下。

图：修改后的壁纸

攻击者溯源

在分析相关样本的时候，我们意外找到了一些内容：Tor配置文件内暴露了攻击者所使用的机器的用户名。

图：释放的Tor组件内置的配置文件

通过网上搜索，我们在Github上找到了同名用户的公开仓库信息。

图：同名用户的公开仓库信息

值得留意的是，仅有的2个公开仓库均与一款名为Dero的加密货币相关。

而在被加密的文件尾部，我们发现攻击者留下了一段话：“DERO IS THE NEXT BITCOIN”，再次提到了“Dero”这款加密货币。

图：被加密文件尾部的数据

我们同样也在某国外社交网站上找到了同名账户，账户内个人简介表明账户拥有者是“Dero”这款数字货币的开发者之一。

图：相关信息

结合勒索信内的要求、被篡改的壁纸以及上述内容，我们怀疑，此次事件的攻击者有可能与“Dero”这款数字货币的开发者相关。

IOCHashes

ABB02749EC0EAEE60365D74AC1A6CEC60845197D8244D6A5B670C79F28680245E93FC5B5329960D75CB283BDF37AB268

URLs

hxxp://email.email.iobit.com/c/eJw1zs0KwyAQBOCniUdx_anm4KGXvofrrkSaYDCSvn7T0sLcBuYbisog2yBq1EqDArhBcF4F6ZGSt2jAeVN81pNVvKW6ytqwDpnbJpYY5rlkyo5sSA4dQDE5WO8ZCjIZFmtcxtiPydwn_biy97a147fxav3J_ZDE57_6nBA9dk4r1YHpUpc2vu4lvgE9LzYfhxxps://forums.iobit.com/promo.htmlhxxps://forums.iobit.com/free-iobit-license-promo.zip

编辑：瑞瑞 阅读：2

一、关于杀毒软件激活码的问题（瑞星与卡巴斯基）

一个激活码只能一个人使用，一但使用，激活码的信息就会时入瑞星与卡巴斯基的数据库，别人就不能使用了

二、我的瑞星杀毒软件已经过期了，需要激活，谁有免费的激活码？怎么才能弄到激活码？

瑞星个人版已经免费，直接到官网下载最新版本安装就可以了。

三、瑞星杀毒好不好啊 ？

瑞星
北京瑞星科技股份有限公司成立于1997年1月，其前身为1991年成立的北京瑞星电脑科技开发部，是中国最早从事计算机病毒防治与研究的大型专业企业。瑞星以研究、开发、生产及销售计算机反病毒产品、网络安全产品和反“黑客”防治产品为主，拥有全部自主知识产权和多项专利技术。但是，他确是全国最差的杀毒软件。

目前，瑞星公司已推出基于多种操作系统的瑞星杀毒软件单机版、网络版软件产品；以及企业防毒墙、防火墙、网络安全预警系统等硬件产品，是全球第三家、也是国内唯一一家可以提供全系列信息安全产品和服务的专业厂商。

作为国内最大的反病毒专业企业，瑞星公司已经建成国内最具竞争力的研究、开发、营销、服务网络：

公司拥有国内最大、最具实力的反病毒研发队伍，这使得瑞星公司拥有全部自有知识产权的核心技术，拥有六项专利技术，并且进行着多项前沿研究项目。

通过与国家计算机病毒主管部门的紧密配合，同国内及国际知名企业间的密切协作，瑞星公司已为众多政府部门、企业级用户以及个人用户提供了全方位的计算机病毒防护解决方案，深得用户的信赖和大力支持。

从瑞星的信息安全网站、瑞星客户服务中心、呼叫中心到分布全国的分公司和办事处，以及3000余家瑞星授权服务站，瑞星已建立成庞大的销售服务体系以及完备的售后服务体系。

在公安部组织的计算机病毒防治产品评测中，“瑞星杀毒软件”单机版、网络版曾双双荣获总分第一的殊荣，并连续5年蝉联至今。公司拥有国内最大、最具实力的反病毒和网络安全研发队伍，并且拥有国内安全行业唯一的“电信级”呼叫服务中心和“在线专家门诊”Onlie服务系统。

瑞星和政府机构、商业伙伴以及媒体有着广泛而深入的合作关系，借助内外部各种资源，目前已建成五大安全网络体系——全球计算机病毒监测网、全球计算机病毒应急处理网、全国计算机病毒预报网、全国反病毒服务网以及全球病毒疫情监测网。

瑞星公司之所以能够成为同类杀毒软件的霸者是因为瑞星公司完美的组合，首席执行官王新和副总裁毛一丁和首席技术顾问陈风组成了一支反病毒界的巨型航母。

瑞星公司总部设立在北京，在全国各地设立了分公司和代理处。目前公司拥有国内最大的信息安全研发团队、国内最大的客户服务团队，以及销售、市场、网站等部门，并已经建成覆盖全国的庞大的销售和市场体系。

目前瑞星拥有3000万个人用户，7万多家企业用户，主要软件产品以中（简、繁体）、英、德、日四种语言版本推向全球市场，销售网络覆盖北美、欧洲、亚太等地区。作为在中关村成长起来的高科技企业，瑞星正逐步走向世界，实现公司的美好愿景——成为全球最具价值的信息安全产品和服务提供商。

瑞星四大网络体系

全球计算机病毒监测网：通过密切合作，在全球范围内快速截获最新计算机病毒。

全球计算机病毒应急处理网：在第一时间发布提供新病毒解决方案及升级程序。

全国计算机病毒预报网：与大量媒体合作，在最短时间内、最大范围地通报病毒疫情。

全国反病毒服务网：最大范围的覆盖用户、迅速完备的全程服务体系。
瑞星拥有国内最大木马病毒库，采用“木马病毒强杀”技术，结合“病毒DNA识别”、“主动防御”、“恶意行为检测”等大量核心技术，可彻底查杀70万种木马病毒。
详情点击 »
是主动防御技术延展出来的全新技术应用模式，用户只需将网游、网银、聊天、股票等软件放到“账号保险柜”中，就可以放心使用，瑞星会有效阻止盗号木马的攻击和盗取。
详情点击 »
经过对数十万病毒的危险行为进行分析，提炼，瑞星专家设计出全新的主动防御模块，让用户能更简单轻松的应对未知病毒的侵袭。
详情点击 »
瑞星的两个版本：套装和杀毒单机，分别是38元和189元。
三层架构主动防御，全面保护系统安全
主动防御是一种阻止恶意程序执行的技术。它比较好的弥补了传统杀毒软件采用“特征码查杀”和“监控”相对滞后的技术弱点，可以在病毒发作时进行主动而有效的全面防范，从技术层面上有效应对未知病毒的肆虐。
星杀毒软件2008中采用的主动防御技术包含三个层次，资源访问规则控制；资源访问扫描；程序活动行为分析引擎，其中尤其以行为分析引擎技术最为关键。

第一层：资源访问控制层（即HIPS）
它通过对系统资源（注册表、文件、特定系统API的调用、进程启动）等进行规则化控制，阻止病毒、木马等恶意程序对这些资源的使用，从而达到抵御未知病毒、木马攻击的目的。
第二层：资源访问扫描层（即传统的文件监控、邮件监控等）
通过监控对一些资源，如文件、引导区、邮件、脚本的访问,并使用拦截的上下文内容（文件内存、引导区内容等）进行威胁扫描识别的方式，来处理已经经过分析的恶意代码。
第三层：进程活动行为判定层（危险行为判定、DNA识别）
进程活动行为判定层自动收集从前两层传上来的进程动作及特征信息，并对其进行加工判断。瑞星专家经过对数十万病毒的危险行为进行分析，提炼，设计出全新的主动防御智能恶意行为判定引擎。无需用户参与，该层可以自动识别出具有有害动作的未知病毒、木马、后门等恶意程序。
目前，市面上的一些主动防御软件只做了三层结构中的部分功能，瑞星认为，只有全面实现三个层级的主动防御，才是真正意义上的“主动防御功能”，如果用户使用不完全的主动防御，将给自己带来严重的安全风险。
帐号保险柜，严密保护您的帐号密码
帐号保险柜是瑞星杀毒软件2008最大的技术亮点之一，是主动防御技术延展出来的全新技术应用模式。它会自动保护用户的网游、网银、聊天、股票等软件的帐号及密码不被盗号木马窃取。

瑞星“账号保险柜”利用主动防御技术自动屏蔽木马、病毒常用的多种恶意行为，包括注入DLL、内存被篡改、注入代码、挂起、强制结束程序、键盘监听等。如果用户感觉不够安全，还可以选择更多的保护规则。软件受保护之后，瑞星就会通过主动防御体系实时监控所有的不安全行为，自动加以屏蔽，用户的账号密码就相当于放入了保险柜，使那些试图窃取账号密码的木马病毒无可奈何。
瑞 当前正在被系统调用或被其它程序使用的文件是不能被删除的，如果这些文件是病毒，传统杀毒软件就会提示“清除失败”或“重启后删除”，但重新启动计算机后病毒文件仍然存在。
瑞星研发团队经过多年的技术积累，在分析数十万木马样本的基础上，结合“木马病毒强杀”技术，并应用在瑞星杀毒软件2008版中。该技术正是为了解决这一普遍性问题而开发的，打开瑞星的“强杀”功能后，即使病毒正在运行也可以直接将病毒文件强制删除，彻底解决传统杀毒软件“查得出杀不掉”的弊病。

通过结合“病毒DNA识别”、“主动防御”、“恶意行为检测”等大量核心技术，瑞星2008版可以有效地查杀目前各种加壳木马病毒、混合型木马病毒和家族式木马病毒共约70万种。
即时升级，时刻防范最新病毒

针对此种情况，瑞星杀毒软件2008推出“即时升级”功能，用户只要安装好杀毒软件，无需进行设置，杀毒软件会在后台自动完成升级，时刻保持病毒库最新，以防范最新出现的病毒、木马、后门及其它的恶意程序。