技術不夠，外掛來湊，小心遠控木馬“上身”爆發隱私危機

點選“快捷方式”就可開啟對應應用程式的操作，早已成為大多數使用者的慣性思維。然而，這種習慣成自然的固化經驗，卻往往能夠為駭客們提供猖獗作亂的絕佳契機。

近日，360安全大腦監測發現，一批“帶毒”快捷方式持續橫行網路，在QQ、微信中大肆傳播遠控木馬，並以“資料.exe”、“截圖202008170020.exe”、“王者輔助.exe”等名稱為幌子，誘使被害者點選執行。

360安全大腦在深度分析後，發現該遠控木馬除了具有鍵盤記錄、盜號、錄音、截圖等常見遠控功能外，還會進一步利用QQ快捷登陸介面盜取QQ群資訊，嚴重危及到了廣大網友的隱私及資料安全。

不過廣大使用者無須擔心，360安全大腦已率先對該遠控木馬實現攔截查殺，中招使用者可儘快下載安裝360安全衛士，可有效抵禦該類遠控木馬威脅。

遊戲外掛實為遠控木馬“煙霧彈”

廣東、北京兩地淪陷成災情震中

360安全大腦在8月16日首次監測到該木馬後，透過追蹤分析發現，木馬作者在社交軟體QQ上以遊戲外掛為誘餌，誘使遊戲玩家執行該程式。如果使用者因被“遊戲外掛”程式的“煙霧彈”所麻痺，而不慎開啟，那麼木馬的遠控功能也會同時在後臺開始執行。

根據360安全大腦的監控資料進行統計，該木馬目前已在國內多個省份廣泛傳播，諸多重點城市紛紛不幸淪陷。其中廣東、北京兩地的受災情況最為嚴重，成為災情震中。

木馬釋放組合式“惡意”套餐

擅入QQ“任性”竊取隱私資料

360安全大腦在進一步深度分析後發現，該遠控木馬執行後會釋放大量檔案到C:\ProgramData目錄下。

這些檔案中有各種程式或指令碼，會將木馬主程式新增為開機啟動項，並釋放前文中所提到的用於迷惑受害使用者的“外掛程式”。完成準備工作後，木馬會執行釋放出的白程式CC.exe，並利用該程式載入含有惡意程式碼的nw_elf.dll檔案執行後續功能。

透過分析得知，病毒執行後會在記憶體中解密出遠控木馬，該遠控木馬具有盜QQ號、關閉裝置、獲取鍵盤記錄、錄音、截圖、清理系統日誌、新增自啟動項、下載程式並執行等在遠控木馬中常見的惡意功能，甚至還會透過遍歷程式的操作檢查系統中存在的安全軟體。

而與常見的遠控木馬不大一樣的是——該木馬還會進一步獲取受害使用者機器中的QQ相關資訊，其主要手段是利用QQ的登入介面，透過模擬本地QQ軟體的網路請求來獲取到一些較為隱私的資料。

只要受害機器的QQ軟體在本地已經登入，該木馬就能獲取到一些已登入QQ的本地資訊，再透過這些資訊構造資料，進一步從QQ線上登入介面中獲取到：已加入的群資訊、群好友資訊、群成員列表等資料，甚至還可以利用介面和這些資訊，以受害人的名義，向受害使用者所在的各個QQ群和好友傳送垃圾或有害資訊，不斷擴圍病毒的傳播。

不過廣大使用者無需過分擔心，在360安全大腦的極智賦能下，360安全衛士目前已可有效攔截查殺該類遠控木馬。為全面保障廣大使用者的個人隱私及財產安全，淨化網路環境，360安全大腦給出以下幾點安全建議：

1、前往weishi.360.cn，下載安裝360安全衛士，對此類遠控木馬威脅進行有效攔截查殺；

2、對於安全軟體報毒的程式，不要輕易新增信任或退出安全軟體；

3、不輕易開啟QQ、微信等即時通訊軟體中傳播的未知安全性檔案。

IOCs

535966c91f987771ead264589e4284bf

abcf82d99006a0becf236c514f868cf3

8a0577be2778ff653adcd85e26ea27c6

d7c4eb691b0b2773d53982d247a64dd5