為了省錢,很多人會嘗試各種各樣的方法免費獲取網(wǎng)盤和視頻網(wǎng)站的VIP權(quán)限。正因為有這種需求,各種所謂的“網(wǎng)盤不限速神器”或是“VIP助手”也就應(yīng)運而生了。但這個工具那個助手的真就靠譜么?360互聯(lián)網(wǎng)安全中心最近就連續(xù)接到了兩起關(guān)于此類程序的舉報。
兩起舉報的程序,一個是“百度網(wǎng)盤不限速工具”,而另一個則是“全網(wǎng)VIP解析助手”(視頻網(wǎng)站VIP工具),而舉報的原因全都是——自己莫名其妙的就購買了多張iTunes電子禮品卡。
以其中“百度網(wǎng)盤不限速工具”為例,現(xiàn)在依然可以在搜索引擎中輕松搜索到相關(guān)信息:
俗話說“做戲要做足”,這個木馬還是挺專業(yè)的。如果你下載回來之后直接運行這個破解工具,其實是什么都不會發(fā)生的——因為他會查找百度網(wǎng)盤的進(jìn)程:
如果找不到百度網(wǎng)盤進(jìn)程,就直接退出了,什么都不做。
而一旦存在有BaiduNetdisk.exe的進(jìn)程,便會發(fā)起一個HTTP請求確認(rèn)版本。
然后會順手patch一下BaiduNetdisk.exe的進(jìn)程,但是不是真的能加速就不得而知了。不過這也不是重點,重點是patch完之后,它會繼續(xù)釋放了幾個真正的木馬文件:
最后再把這個創(chuàng)建的SysteCsrss.exe跑起來
釋放的三個程序,其實是一個比較典型的白利用遠(yuǎn)控木馬。首先,SystemCsrss.exe帶有“北京世紀(jì)奧通科技有限公司”的簽名。
而改程序啟動的時候,導(dǎo)入表會自動加載那個libcef.dll:
其次,這個libcef.dll實際上也只是一個Loader。一旦執(zhí)行,回去加載并執(zhí)行最后釋放的那個名為data.lnk的ShellCode
運行起來之后,其實就是個普通的遠(yuǎn)控了——先是從一個服務(wù)器上拿到了遠(yuǎn)控上線域名:
之后就是遠(yuǎn)控上線,接受黑客控制:
最終,在受害人機器上展示出的現(xiàn)象就是在用戶離開的時候,黑客利用遠(yuǎn)控程序向受害人機器下達(dá)命令,創(chuàng)建了一個新的管理員權(quán)限用戶,再利用微軟自帶的遠(yuǎn)程桌面功能登錄受害人機器(這樣方便黑客使用圖形界面操縱受害人機器):
并在完全不知情的情況下使用受害人賬戶購買了多張iTunes電子禮品卡:
實際上該程序早已被360識別并查殺了:
而用戶之所以中招,是因為用戶有時太相信所謂的輔助工具被殺毒軟件“誤報”是正常現(xiàn)象,所以選擇了自行將木馬程序加入了白名單中:
借此機會提供廣大用戶,360不會隨便誤報所謂的“外掛”或“輔助工具”,報毒一定有原因,為了自己的財產(chǎn)安全,請一定要相信安全軟件的“判斷力”。
| 
