我国电脑用户当中，使用盗版软件是非常普遍的现象，从盗版的Windows系统到各种收费软件的“破解版”等等。

互联网上也充斥着各种帮助用户使用盗版的“激活工具”、“破解工具”，投其所好地帮助用户使用盗版软件。但是“天下没有白吃的午餐”，除了一部分破解爱好者提供的无害的免费激活工具之外，病毒制造者也瞄准了盗版人群，他们利用提供激活工具的机会，将恶性病毒植入用户电脑。

前段时间爆发的“小马激活病毒”为例，其以系统激活工具的身份为掩护，利用其“入场”时间早的天然优势，在用户电脑上屏蔽安全软件、肆意劫持流量，危害极大。同理，许多病毒制造者病毒用PE工具箱、系统激活工具等形式进行包装，不但加快了病毒的传播速度，也加强了其隐蔽性，从而躲避安全软件的查杀。

提到APT，很多人会首先想到那些针对大型企业甚至阅批部门的特定攻击或威胁，以及0day、挂马、间谍等。实际上，APT（AdvancedPersistent Threat，即高级持续性威胁），所指非常宽泛，即“通过较为高级的手段这对特定群体产生的持续性威胁”，因此针对盗版用户的病毒威胁，也在APT攻击之列。

本报告为大家揭示的病毒，就属于这类恶意威胁。该病毒在系统安装阶段 “先人一步”释放出恶意程序，并通过时间优势提前安置安全软件白名单库将病毒自身“拉白”，再通过众多功能单一、目标明确的程序相互配合，针对 “盗版操作系统用户”这一特定群体形成了持续性的威胁。

这种针对“盗版用户”的APT攻击迷惑性极强，用户很难发现恶意程序。更要命的是，即使安全软件报毒，用户通常也会认为是误报了“系统程序”从而选择放过。

2.“Bloom”病毒何以长期“幸存”？

近期，火绒在一个浏览器首页遭劫持的用户现场中提取到了一组具有“锁首”功能的恶意程序，该程序会通过修改用户浏览器快捷方式的手段劫持“灰色流量”。在获取样本后，火绒便当即对其进行了查杀，因其注册的服务名将其命名为“Bloom”病毒。

随后，我们在火绒样本库中进行关联查询，发现了该病毒在互联网中流行的两个主要版本，两个版本时间相差一年，而“第一代”病毒更是在2014年就已经出现。然而，截止目前为止，国内的大部分主流安全软件仍未能有效对其进行查杀。随着我们对这组样本的分析我们发现，这组样本中每个程序功能极为单一、独立，如果仅仅通过对单个样本进行分析，并不能完整的获得该病毒的整个逻辑，从而无法认定其为恶意样本。

正是因为上述原因，使得这个病毒在安全软件的眼皮底下堂而皇之地生存了至少两年之久。

二、样本分析

“Bloom”病毒是一组通过修改浏览器快捷方式的手段劫持用户流量的恶意程序。通过火绒的“威胁情报分析系统”，我们发现该病毒通常会藏匿于以下几个路径名中：

C:\Program Files\BloomServices

C:\ProgramFiles\Supervise Services

C:\ProgramFiles\WinRAR\RARDATA

C:\Windows\Microsoft.NET\Framework\v4.0.3032018

C:\Program Files\WindowsDefender\DATA\Supervisory

观察上述路径名，我们发现该病毒通常会将自己伪装到一些常见的系统目录下，以此来蒙蔽用户，致使安全软件即使发现了该病毒，用户也会误以为是系统程序选择放过。