遠控木馬中的VIP：盜刷網購賬戶購買虛擬禮品卡

為了省錢，很多人會嘗試各種各樣的方法免費獲取網盤和視頻網站的VIP許可權。正因為有這種需求，各種所謂的「網盤不限速神器」或是「VIP助手」也就應運而生了。但這個工具那個助手的真就靠譜么？360互聯網安全中心最近就連續接到了兩起關於此類程序的舉報。

兩起舉報的程序，一個是「百度網盤不限速工具」，而另一個則是「全網VIP解析助手」（視頻網站VIP工具），而舉報的原因全都是——自己莫名其妙的就購買了多張iTunes電子禮品卡。

以其中「百度網盤不限速工具」為例，現在依然可以在搜索引擎中輕鬆搜索到相關信息：

俗話說「做戲要做足」，這個木馬還是挺專業的。如果你下載回來之後直接運行這個破解工具，其實是什麼都不會發生的——因為他會查找百度網盤的進程：

如果找不到百度網盤進程，就直接退出了，什麼都不做。

而一旦存在有BaiduNetdisk.exe的進程，便會發起一個HTTP請求確認版本。

然後會順手patch一下BaiduNetdisk.exe的進程，但是不是真的能加速就不得而知了。不過這也不是重點，重點是patch完之後，它會繼續釋放了幾個真正的木馬文件：

最後再把這個創建的SysteCsrss.exe跑起來

釋放的三個程序，其實是一個比較典型的白利用遠控木馬。首先，SystemCsrss.exe帶有「北京世紀奧通科技有限公司」的簽名。

而改程序啟動的時候，導入表會自動載入那個libcef.dll：

其次，這個libcef.dll實際上也只是一個Loader。一旦執行，回去載入並執行最後釋放的那個名為data.lnk的ShellCode

運行起來之後，其實就是個普通的遠控了——先是從一個伺服器上拿到了遠控上線域名：

之後就是遠控上線，接受黑客控制：

最終，在受害人機器上展示出的現象就是在用戶離開的時候，黑客利用遠控程序向受害人機器下達命令，創建了一個新的管理員許可權用戶，再利用微軟自帶的遠程桌面功能登錄受害人機器（這樣方便黑客使用圖形界面操縱受害人機器）：

並在完全不知情的情況下使用受害人賬戶購買了多張iTunes電子禮品卡：

實際上該程序早已被360識別並查殺了：

而用戶之所以中招，是因為用戶有時太相信所謂的輔助工具被殺毒軟體「誤報」是正常現象，所以選擇了自行將木馬程序加入了白名單中：

藉此機會提供廣大用戶，360不會隨便誤報所謂的「外掛」或「輔助工具」，報毒一定有原因，為了自己的財產安全，請一定要相信安全軟體的「判斷力」。

*本文作者：360安全衛士（企業帳號），轉載請註明來自FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！