提起遠控木馬，灰鴿子、Gh0st等等都是臭名昭著。與這些木馬相比，商業級遠控軟體的監控能力毫不遜色，只不過這類軟體有著合法身份，並且在安裝和執行時都會有明顯提示。

但如果商業級遠控軟體能夠被駭客玩壞，讓它實現隱藏執行，那麼它就會變成威力巨大的遠控木馬，因為這類商業級軟體會被大多數安全廠商識別為合法程式。

360QVM團隊就數次發現商業級遠控軟體遭惡意利用的情況，在此進行詳細分析。

0x01 樣本概況

---

樣本是個常見的使用色情誘惑類名稱的壓縮包“我們小姐的相片”，在解壓後得到一個批處理檔案和一個隱藏的資料夾。依靠色情等擦邊球傳播，這是木馬病毒慣用的手段。

隱藏資料夾內檔案如下：

批處理檔案經過混淆加密，用以對抗靜態檢測：

0x02 批處理流程

---

對批處理檔案的解密結果：

其中主要命令為：

Part 1：

獲得當前日期時間並儲存到ok.txt，形如201510151742；

帶引數執行ge.log，即進入命令列版的rar；

解壓檔案user.txt到資料夾user，並刪除原始檔。

Part 2：

之後則是建立資料夾c:\user0和c:\78g並複製解壓的檔案。

user0目錄：

78g目錄：

此時另外兩個檔案開始執行：

ok.txt是之前命令執行生成的包含當前日期時間的檔案，tu1.txt是user目錄中原有檔案。

再執行pb.bat，此時該目錄下僅剩一個名為照片的快捷方式。

Part 3：

pb.bat中內容同樣是混淆加密的：

解密後命令：

ok.txt是之前儲存有當前日期時間的文字，此處透過查詢字元來判斷樣本啟用時間是否在指定時間範圍內。

新增登錄檔。此處新增的內容將在下面介紹。

開啟一張圖片，此時的“照片”，方才成為真正的圖片。

至此，批處理的命令已經結束，全程不存在病毒。當使用者想再次開啟“照片”時，則會執行“照片.lnk”指向的程式。

0x03 利用小眾軟體隱藏遠控程式

---

照片所指，是一款名為裝模作樣的視窗隱藏工具，usersys.ini是該軟體的配置檔案。

該軟體也並不是病毒，其配置檔案具備“指定啟動時自動隱藏並執行指定程式”的功能。

樣本預設的配置，使svchnst.exe執行時便會啟動C:\user0\svchest.exe並隱藏這兩個程式的介面。

而svchest.exe實為一款名為“網靈”的商業遠控受控端。對於具有合法身份的商業遠控，很多防毒軟體原則上也是不報毒的。

該程式執行時原本有明確提示；但由於svchnst的隱藏執行，該遠控受控端的圖示和提示便被隱藏。

因為網靈受控端安裝包在安裝時需要填入網靈服務id和密碼，並將這些資訊儲存到登錄檔hklm\software\anypc01中：

這也可以解釋上述批處理命令中，需要新增登錄檔的原因。

0x04 總結

---

病毒作者事先在一臺電腦上用商業遠控配置好受控端，使用批處理來新增同等配置資訊；再借助一款視窗隱藏工具，隱藏商業遠控端開啟時的提示。這樣，受害者在不知不覺間，就遭到了攻擊者的毒手；而攻擊者也無需編寫惡意程式，透過合法商業遠控的隱藏實現就控制了受害者的電腦。 在此我們提醒廣大網友：木馬並不只是exe等可執行程式，類似.bat這樣的指令碼檔案同樣很危險。如果遇到不熟悉的檔案格式或是陌生人發來的可疑檔案，切莫輕易點選執行。