近日，火绒安全团队发现，用户在知名下载站”系统之家”下载安装”小马激活”及”OFFICE2016″两款激活工具时，会被植入病毒”Justler”，该病毒会劫持用户浏览器首页。病毒”Justler”作者极为谨慎，会刻意避开北京、厦门、深圳、泉州四个网络安全监察严格的地区的IP。除这几个地区以外的用户，下载到的软件均可能带毒。据”火绒威胁情报系统”监测和评估，截至目前，该病毒感染量已近60万。

病毒”Justler”通过知名下载站”系统之家”（xitongzhijia.net）传播。当用户试图下载”小马激活”及”OFFICE2016″两款激活工具时，”系统之家”会识别访问IP，当用户IP地址不属于北京、厦门、深圳、泉州四个地区时，则会跳转到被植入病毒代码的软件下载链接。另外根据跳转链接域名，我们进一步发现了一个站点名同为”系统之家”（win.100ea.com）的网站。而该网站中提供的系统盘也同样携带病毒”Justler”。一旦运行”小马激活工具”、”OFFICE 2016激活工具”安装包，病毒”Justler”也随之被激活。之后，该病毒将篡改被感染电脑的浏览器首页，劫持流量。

利用激活工具和系统盘进行传播病毒和流氓软件的现象有逐渐增多趋势。由于激活工具通常是装机后首先安装的软件，因此此类病毒和流氓软件利用介入时机更早的优势与安全软件进行对抗。

本次截获的病毒样本将自己伪装成了小马激活工具，在运行原版小马激活工具的同时，还会释放加载恶意驱动进行流量劫持。样本来源为名叫 “系统之家”的软件站（www.xitongzhijia.net），该站点在百度搜索”系统之家”后的搜索结果排名中居于首位，且被标注有”官网”标志。百度搜索”系统之家”后的搜索结果，如下图所示：

受影响浏览器列表，如下图所示：

恶意驱动首先会对加载映像的文件名进行检测，检查是否为浏览器文件名，之后对其父进程进行检测查看父进程是否为桌面进程（包括系统explorer、360桌面助手和360安全桌面），如果父进程是桌面进程则会对启动参数进行劫持。

亿破姐

提醒大家现在网上很多五花八门的激活工具，国内也出过一些经典的激活工具比如小马激活工具，不过现在的此小马非彼小马，小马在2014年就发布声明不在做激活工具，而且也就出品了2款激活工具Oem7、KMS8 ，现在市场上出现 的什么小马Win10激活工具，KMS10激活工具都是假的，在2017年12月的时候部分山寨版国外KMSpico激活工具暗藏后门和挖矿程序，就是你使用这款假冒的KMSpico激活系统后就被植入了病毒，所以亿破姐建议大家不要乱下载激活工具。

亿破姐这里收集的激活工具都是正品的激活工具绝对不会捆绑主页，后门，病毒之类的，所发资源都是亿破姐亲自测试多次无流氓行为才发布出来的，大家下载激活工具就来亿破姐。