麻辣香锅病毒再次爆发：使用带毒激活工具、系统被劫持

麻辣香锅病毒是从年初被安全公司监测到新病毒，其病毒模块带有MLXG_KM因此被安全公司代称麻辣香锅病毒。今年年初时已经报道过这款病毒，该病毒主要通过激活工具和繁多的垃圾系统下载站进行集成和传播等。病毒目的方面倒是非常简单：即强制锁定用户主页为导航网站导流，然后病毒作者可以获得导航网站的流量分成。

而最近火绒安全实验室监测到麻辣香锅病毒又开始呈现爆发趋势，目前大量用户使用带毒激活工具和系统被劫持。

篡改激活工具和集成到系统镜像中传播：

从目前溯源分析来看麻辣香锅病毒主要通过各种激活工具传播 , 包括暴风激活、小马激活和KMS激活等诸多工具。相比年初时的路数此次爆发麻辣香锅病毒似乎与垃圾系统下载站达成合作，在这些下载站推广带毒的工具和系统。当用户使用下载这些工具激活系统时便会遭到病毒感染并锁定主页，下载集成病毒的垃圾系统镜像也同样会感染。部分集成病毒的垃圾系统下载站甚至还在某些搜索引擎上付费推广，用户搜索系统名称时就会被引导到垃圾站上。

注：小马激活早在Windows 7时代就已停止更新 , 现在网上所有声称能激活Windows 10的小马都是带毒山寨版。

诱导用户退出杀毒软件躲避查杀：

某些工具类的软件经常会被安全软件误杀，因此在我们通过网络下载软件时有时候也会看到退出杀毒软件的说明。不过真正带有病毒的工具软件也会使用这种套路来怂恿用户退出杀毒软件，这样可以让病毒堂而皇之的感染电脑。麻辣香锅病毒并不能躲避多数主流安全软件的查杀，因此在这些垃圾系统下载站上就会看到所谓的误报误杀提示。而用户如果真相信这鬼话那就会被麻辣香锅病毒感染，这里也说明对于来历不明的软件要谨慎下载和退出杀软呀。

天下攘攘皆为利来：

麻辣香锅病毒的攻击目的倒是非常简单，其感染用户电脑后主要工作就是强制锁定浏览器主页为导航网站导流等。导航网站通常会给流量渠道方面的提供商提供每个访问0.045~0.05元 (即45~50元/每千次访问)的渠道流量分成。麻辣香锅病毒在感染后会将用户主页锁定为hxxp://h*.****.top这个域名，其中*号代表数字或其他字母组合域名。从火绒安全官方论坛反馈来看最近麻辣香锅的劫持量明显提高，这可能是病毒开发者联合更多垃圾站传播的结果。

目前火绒安全实验室已经推出麻辣香锅专杀工具，此前使用过类似激活工具的用户建议使用专杀工具扫描和杀毒。

病毒竟然还会收集蓝屏信息改善兼容情况？

此次麻辣香锅病毒的传播还有个让人啼笑皆非的情况，该病毒感染用户电脑后还会收集本地转储的系统蓝屏日志。诸如Windows 10等操作系统会将系统日志转储到本地硬盘，在必要的时候提供给专业用户分析以排查运行故障。火绒工程师分析发现麻辣香锅病毒还会在后台悄悄读取和上传系统转储日志，至于为什么转储日志目的还不明确。不过按猜测这可能是病毒开发者想从日志中过滤内容，分析该病毒自身可能导致的系统蓝屏情况改善病毒兼容性。

当然如此尽心尽力的为用户提供「服务」并不是为了获得口碑，其根本目的自然是为长期霸占用户电脑防止被杀。