近期，360安全大腦監測到大量遠控木馬的傳播，經過深度分析，發現該木馬是“Torchwood”遠控木馬的新變種。曾經該木馬通過下載網站、釣魚郵件和QQ群等方式傳播，都已被360安全大腦全面查殺，而最近的更新則有捲土重來的跡象。

這一次該木馬再度延用“CHM釣魚攻擊”的傳播方式，並配合極具迷惑性的標題，誘導使用者開啟木馬檔案，使其在不知不覺中遭受攻擊。廣大使用者不必過分擔心，目前360安全大腦已全面攔截該木馬的攻擊，建議使用者及時下載安裝360安全衛士保護電腦隱私及資料安全。

CHM檔案“魚目混珠”潛入系統，“白加黑”作案手法屢試不爽

什麼是CHM檔案呢？大家不要覺得CHM檔案很“冷門”，它是經過壓縮的各類資源的集合，日常中支援圖片、音訊、視訊、Flash、指令碼等內容，因為方便好用、形式多樣，也可算是檔案格式界裡的“經濟適用款”，越來越多的電子書、說明文件都採用了CHM格式。在大多數人的印象中，CHM型別檔案是“無公害”文件檔案，但只要加以利用便可以“魚目混珠”潛入系統躲過殺軟，併發起隱祕攻擊。事實上，360安全大腦監測到的多起攻擊事件中，都可以看到 CHM 檔案的影子，這類手法也被業界形象地稱為“白加黑”攻擊。

歷史手法，又在重演。本輪攻擊中，360安全大腦發現木馬作者再次利用了CHM檔案，再配上能夠引起使用者興趣的敏感標題，然後通過下載網站、釣魚郵件和QQ群等渠道傳播，最終誘導使用者開啟木馬檔案，達到控制使用者電腦，盜取帳號密碼及重要資料等目的。

（與“錢財”等有關的誘惑性標題）

360安全大腦對該CHM檔案進一步溯源分析，發現Torchwood遠控木馬的攻擊核心是加入了具有云控功能的HTML指令碼。當使用者執行虛假的CHM檔案後，“精心喬裝”的虛假網頁訪問404圖片便會自動彈出，與此同時，潛伏在系統後臺已久的攻擊程式也同時悄然執行。

360安全大腦對該混淆程式碼分析，發現其攻擊流程如下：

1、利用certutil.exe 下載一張網站訪問404的截圖run.jpg，用來欺騙使用者。

2、利用certutil.exe 下載壓縮後的攻擊模組temp1.jpg。

3、利用certutil.exe 下載解壓用的WinRar工具helloworld.jpg。

4、執行WinRar工具，用來解壓攻擊模組，密碼為“Tatoo”。

5、使用者實際執行的效果，前端利用欺騙性圖片迷惑使用者，背後則偷偷執行攻擊程式。

整個過程大致如下，完成下載和解壓工作後，木馬就會進入攻擊流程：

具體的攻擊程式碼流程如下：

1、首先木馬作者會啟動Perflog.exe檔案，該檔案是羅技的鍵鼠管理程式，屬於被白利用的正常程式。

2、Perflog.exe會載入黑模組logidpp.dll，這是木馬作者經常使用的“白加黑“手法。

3、logidpp.dll是一個PELoader程式，它的任務是在記憶體中解密bugrpt.log檔案，並在記憶體中載入執行此惡意模組。

4、呼叫惡意模組的匯出函式“Torchwood“，執行遠控程式碼流程。

值得一提的是，此類木馬是一個具有下載和記憶體執行功能的程式，並且可以通過雲控的方式執行任意程式碼。這裡，我們主要分析的是其傳播遠控程式對受害目標進行攻擊的過程，可以看到該木馬還包含一系列自我保護的功能，以達到長久駐留的目的。

（新增登錄檔，長期駐留）

（遠控功能）

（內建的安全軟體檢測列表）

Torchwood 遠控木馬前有針對防毒軟體的檢測躲避大招加持，後有任意程式碼執行的遠控攻擊技能傍身，本輪攻擊可謂來勢洶洶，但360安全大腦通過多種技術手段防禦和發現最新木馬病毒，且已率先實現對該類木馬的查殺，為避免此類攻擊的感染態勢進一步擴大， 360安全大腦建議：

1、建議廣大使用者前往weishi.360.cn，及時下載安裝360安全衛士，能有效攔截該木馬的攻擊，保護個人資訊及財產安全；

2、使用360軟體管家下載軟體。360軟體管家收錄萬款正版綠色軟體，經過360安全大腦白名單檢測，下載、安裝、升級，更安全；

3、不要隨意下載、接收和執行不明來源的檔案，以防中招。

附錄IOC