AutoHotkey是一款免费且开源的自订脚本语言，专为Microsoft Windows而开发，由Chris Mallett和Steve Gray于2003年推出。它的目的是让使用者可以编写自订的键盘快捷键热键脚本，以自动执行Windows应用程序上的各种任务。由于使用者可以轻松操作Windows程序，AutoHotkey被黑客广泛用来编写恶意软体。最近一个用AutoHotkey制作的恶意软体叫做“Fauxpersky”。

那么，Fauxpersky到底是什么，它对Windows系统有什么影响？

Fauxpersky的特征

Fauxpersky由来自网络安全公司Cybereason的安全研究人员Amit Serper和Chris Black发现。在2018年3月28日发布的一篇详细报告中，两位研究人员透露他们发现了一种类似于凭证窃取的恶意代码，其是用AutoHotkey编写的。他们将这款恶意软体命名为“Fauxpersky”，因为它伪装成Kaspersky防病毒程序。

Fauxpersky是一款凭证窃取的键盘记录器，通过以下四个可执行文件将其扩散到USB闪存驱动器：

这些文件位于名为Kaspersky Internet Security 2017的资料夹中，还包含两个非可执行文件：1) 一个“Kaspersky Internet Security 2017”标签和标志的PNG图像文件，以及2) 一个“Read Me”文本文件。

根据研究人员的说法，每个文件都肩负著感染所需的一个功能。以下是整个过程的运作方式：

当执行时，该键盘记录器使用此文件自我繁殖并感染USB驱动器。它收集Windows计算机上列出的驱动器，并复制自身到这些驱动器上。Fauxpersky会收集可移动驱动器，并根据键盘记录器的命名规则重命名它们，然后将这些文件复制到连接到计算机的所有外部驱动器上。

在这个文件中，有一个名为CheckRPath的函数会检查连接的驱动器中是否已有先前重命名的文件，如果没有，则创建这些文件。

使用AutoHotkey的“FileSetAttrib()”函数，这些重命名的文件然后被设置为SH系统，隐藏属性。

这是包含Fauxpersky键击记录功能的特定文件。Svhostexe使用AutoHotkey的“WinGetActiveTitle()”来监控计算机上的活跃窗口，然后使用input()函数记录该窗口中的按键输入。

这些按键输入会被保存到名为“Logtxt”的文件中，然后储存在后续过程中创建的“APPDATAKaspersky Internet Security 2017”目录内。

通过此文件，Fauxpersky将工作目录更改为APPDATA，并创建“Kaspersky Internet Security 2017”资料夹。这个目录是硬编码的。

Taskhostexe中的一个例程CheckLCore会检查计算机的文件是否确实由前一函数创建并复制。如果没有，则Taskhostexe会使用AutoHotkey的“FileCopy()”函数来复制这些文件，然后使用“FileSetAttrib()”函数设置文件属性。

在此文件中有一系列例程负责更改注册表键的值，以启用“隐藏”和“超隐藏”文件的显示。一旦完成，Fauxpersky会检查Explorersexe是否正在运行。如果没有，则该恶意软体会执行它以确保其持久性。

一个名为“CheckLProcess”的函数会检查所有恶意软体的组件，以验证它们是否正在运行。如果没有，它们将通过“Run()”函数和Loop/Parse调用执行。

过程中最后也是最关键的步骤是窃取由Svhostexe保存的Logtxt文件中的键击数据，Fauxpersky会将其发送到一个Google表单。

后果

Amit Serper和Chris Black表示，这款恶意软体简单而高效，其目标包括：

这两位研究人员还联系了Google，通知他们相关表单，并且Google的安全团队在不到一小时的时间内将其下架。

如果您感染了Fauxpersky，只需前往appdataRoaming并删除“Kaspersky Internet Security 2017”资料夹即可。

通过采取更主动的方式来保护您的数据，提升您的网络安全性。当涉及到防范键盘记录器和其他类型的恶意软体时，预防总是比治疗更好。