小马激活疯狂传播病毒:北京等城市用户不被攻击

火绒安全团队近日发现，用户在某知名下载站下载安装小马激活和办公软件激活工具后，均会被植入木马病毒，但北京、厦门、深圳和泉州四个地区却被刻意避开。

一、知名下载站点疯狂传播木马病毒

火绒安全团队发现，用户在系统之家下载安装小马激活及OFFICE2016两款激活工具后，系统就会被植入Justler木马病毒，该病毒最大的特征就是会劫持用户的浏览器首页。

用户浏览器被劫持后，病毒作者就可以通过加载网址导航来获得的回应厂商的流量分成，除此之外，该网站在百度搜索引擎中排名第一，而且还被标注了官方蓝标，这就意味着用户被导入带毒网站的可能性非常大。

值得注意的是，由于北京、厦门、深圳和泉州四个地区网络安全监察严格，所以该病毒的作者即为谨慎的避开了上述四大城市的IP地址，防止被执法部门发现。

而其他地区的用户访问下载道的软件均可能带有病毒，根据火绒威胁情报系统监测到的数据显示，该病毒的感染量目前已经接近了60万。

二、Justler木马是如何被植入用户设备的

当用户通过检索进入到系统之家，并下载安装小马激活及OFFICE2016两款激活工具时，系统之家能够自动识别用户所在的IP地址，一旦不属于上述四个城市就会跳转到被植入病毒代码的软件下载链接。

而对这个跳转后的网站进行跟踪分析，可以发现该站点所提供的系统盘同样携带有木马病毒Justler，用户一旦安装运行小马激活及OFFICE2016两款激活工具，或者是使用该站点提供的系统盘，病毒就会被成功激活。

随后，病毒会对用户的浏览器进行感染并劫持流量，包括360安全/极速浏览器、QQ浏览器、猎豹浏览器、搜狗高速浏览器、百度浏览器等在内的多款浏览器均难逃被劫持主页的命运。

同时，该病毒还可以诱导用户对抗杀毒软件，为了防止被杀软拦截，该病毒还会自动提醒用户关闭杀毒软件，如果用户真的言听计从，就会被病毒成功感染。

三、如何规避Justler木马的侵袭

事实上，早在2016年10月时候笔者就对小马激活工具携带病毒的案例进行了分析，如今这款经典的激活工具再度被不法分子当做攻击工具，可谓是野火烧不尽，有需求就有市场！

这里不得不需要说明的是，知名的小马激活工具早已停止更新，当时的小马仅支持激活Windows 7系统，所以目前市面上流传的号称可激活Windows 8和Windows 10的小马软件，基本都可以被判定为携带病毒。

而今天的案例中，病毒作者同样利用了用户习惯使用盗版Windows系统的心理，疯狂的传播木马病毒劫持用户主页进而获得收益。

所以，问题的关键在于任何下载安装正版系统和对系统进行激活，从而规避Justler木马的侵袭，所以笔者在这里提醒用户在装机时务必选择原版系统，购买正版激活密钥，保障自己的合法权益不受侵犯！