Windows激活工具被植入病毒“薅羊毛”：每天骗上万元

由于你懂的原因，安装完Windows系统后，大多数人要做的第一件事就是找工具激活，而恶意分子也瞅准了这个机会。金山毒霸安全实验室监测发现，国内最流行的若干款Windows激活工具都被蓄意植入了“薅羊毛”病毒。

隐藏“薅羊毛”病毒的小马Win10激活工具

由于盗版Windows在国内的使用量很大，“薅羊毛”病毒的感染量也水涨船高，每天感染上万台电脑。它会将多个浏览器主页锁定为2345，在用户网购时强行劫持浏览器，伪造推广业绩赚取佣金。

研究发现，如果新安装Windows的用户通过网络去搜索下载Win7/Win8/Win10激活工具，会有很大概率下载到内置病毒的版本。

一旦使用这类工具去激活Windows，电脑就会立刻中毒。接下来，病毒会通过下载多个驱动程序和执行文件，将浏览器首页锁定为2345；劫持多款主流浏览器强行插入推广代码；用不可见的浏览器窗口偷偷点击视频广告骗取广告费。

当用户浏览到京东、淘宝、蘑菇街、唯品会、苏宁、国美等电商网站时，并就会自动在浏览器地址栏插入自己的推广ID。这样，只要用这台电脑购物，病毒作者就能从中赚取佣金。

电商的推广佣金本来是为广告付费的，现在没有任何广告，即使是用户主动购买行为，也一样为作弊者付出广告费，推高了电商经营成本，最终所有这些成本，最后都会落在消费者头上。

病毒 “薅羊毛”的执行流程

“薅羊毛”病毒不仅仅会薅电商的羊毛，也没放过火热的视频网站。

病毒会用一个不可见的浏览器窗口模拟点击视频网站广告链接，达到刷广告流量的目的，而为了广告刷量时不被用户发现，病毒甚至会悄悄关闭音频播放设备。

受影响的视频网站包括优酷、爱奇艺、搜狐、PPTV等等。按单个广告视频点击0.5元计算，该病毒每天仅靠虚假点击可以骗取收入上万元。

视频网站广告点击报价

金山毒霸安全实验室的数据显示，捆绑在Windows激活工具里传播的“薅羊毛”病毒最早发现于2015年。

通过代码分析，追踪到疑似病毒作者的Github空间，作者名疑似dongkun(董坤?)，曾用QQ：329009063。

疑似作者的Github主页

建议用户使用正版系统，即便需要激活工具，搜索和使用时也必须开启杀毒软件保护系统。若杀毒软件报毒，切莫继续使用。

金山毒霸拦截隐藏“薅羊毛”病毒的小马激活工具