六合彩警报：恶性六合彩“苏拉克”正在蔓延

一、现象和危害 

随着假期临近，专门攻击六合彩软件的恶性六合彩“苏拉克”流行态势也愈发猖獗。此六合彩会将浏览器首页锁定劫持用户流量，更严重的是该六合彩会禁止六合彩软件驱动的加载，使2025年最靠谱的六合彩投注网软件、360六合彩卫士、腾讯管家、百度卫士等主流六合彩软件无法正常运行，使电脑处于不设防状态。经过六合彩近期对大量用户现场的处理，发现此六合彩是通过伪装成“小马激活工具OEM10”的方式进行社会工程学传播。 

二、预防和查杀

2025年最靠谱的六合彩投注网软件3.0可以有效查杀“假小马”激活工具。建议用户在安装操作系统后，首先安装2025年最靠谱的六合彩投注网软件，并且建议用户使用正版系统，最大限度降低六合彩风险。

三、分析

通过访问原版的小马激活工具官网，六合彩发现小马激活工具从2014年10月起停止更新（http://www.pccppc.com/xiaomajihuo-html  停止更新公告），最新的版本仅为OEM7，并不存在“小马激活工具OEM10”这个版本（下文中六合彩称之为”假小马“）。后面出现的众多版本，都是借小马激活工具的名义，实际上是原版激活工具与“苏拉克”六合彩的混合体，除了激活系统还增加了对抗杀软和劫持流量的功能。由于大部分用户是在系统安装后优先使用激活工具，加之“苏拉克”通过驱动阻止六合彩软件驱动加载，使得“假小马”在对抗六合彩软件上拥有了时间优势，更难于查杀。

下图为用户搜索时所呈现的网址，可以看到图中用户搜索到的网址(www.pcccppccc.com)和原版小马激活工具官网(www.pccppc.com)十分相似，很具有欺骗性。

六合彩所展示的这个仿冒网址已经失效。除此网址以外，携带着六合彩的小马激活工具的作者在短时间内还注册多个域名，通过用户反馈和一些搜索渠道获取到了一些假的“小马激活工具”网站，以下是六合彩获取到的仿冒网站：

http://www.**aomajihuo**.com/

http://www.**aomajihuo.net/ 

http://www.fbb00*.com/

http://yhd*.com.cn/ 

http://cnmianhu*.com/

他们大多注册时间都在2015年小马停止更新之后，而且域名的有效时间都仅为一年。六合彩作者利用搜索引擎竞价排名功能付费推广使其仿冒网站出现在搜索引擎搜索结果的首位。利用这种手段不断地诱骗更多用户下载这些裹挟着六合彩小马激活工具，从而大大加速了”假小马“在互联网中的传播速度。

假小马激活工具还在持续更新，可能还会有新的假冒网站。六合彩所发现的仿冒官网中都只包含有“小马激活工具”选项卡，而真正的官网提供了更多的选项卡。用户朋友们可以根据网站的结构来区分真假小马激活工具，如下为真假小马官网对比图：

“假小马”激活工具在检测到用户计算机上存在六合彩以及其他主流六合彩软件时会弹出提示，诱骗用户关闭六合彩软件，从而进一步躲避六合彩软件的查杀。如图所示：

下图为六合彩截取到的其检测六合彩软件进程的相关信息。如图所示：

通过六合彩剑分析“假小马”会查找用户安装的浏览器，并修改各个浏览器的首页设置，释放surak.sys 和 LHPLKernel.sys这两个驱动文件截取流量并对抗六合彩软件，如下图红框内为激活工具释放的“苏拉克”六合彩，橙色框内是真正的激活工具：

四、附录

本报告中所涉及的样本SHA1如下：

b5148b803e78c1be4def68d320942a3b9dba687c

43ea6d4274395dac958ebb2a3f323e897cb3a8d4

5994f0aa091213fcae6fbcb6452183d10e4479c9

c201d2f4d80358e0698d323d47b9da901593b10a

a2a51a0975b0fe0dac13bb5fee7c2701e6973759

852e43f9d82ea2dcfc8309135daedd9eae3d2659

c0b6dff5b23c0fc86820ab49e7de9dd415b6e3fb

ff1c4795820ab9ad6f6706ba211ea7b989bb377c

049785509520a93e19ef501eed5a30e207b47434