為了省錢，很多人會(huì)嘗試各種各樣的方法免費(fèi)獲取網(wǎng)盤和視頻網(wǎng)站的VIP權(quán)限。正因?yàn)橛羞@種需求，各種所謂的“網(wǎng)盤不限速神器”或是“VIP助手”也就應(yīng)運(yùn)而生了。但這個(gè)工具那個(gè)助手的真就靠譜么？360互聯(lián)網(wǎng)安全中心最近就連續(xù)接到了兩起關(guān)于此類程序的舉報(bào)。
兩起舉報(bào)的程序，一個(gè)是“百度網(wǎng)盤不限速工具”，而另一個(gè)則是“全網(wǎng)VIP解析助手”（視頻網(wǎng)站VIP工具），而舉報(bào)的原因全都是——自己莫名其妙的就購買了多張iTunes電子禮品卡。

以其中“百度網(wǎng)盤不限速工具”為例，現(xiàn)在依然可以在搜索引擎中輕松搜索到相關(guān)信息：

俗話說“做戲要做足”，這個(gè)木馬還是挺專業(yè)的。如果你下載回來之后直接運(yùn)行這個(gè)破解工具，其實(shí)是什么都不會(huì)發(fā)生的——因?yàn)樗麜?huì)查找百度網(wǎng)盤的進(jìn)程：

如果找不到百度網(wǎng)盤進(jìn)程，就直接退出了，什么都不做。

而一旦存在有BaiduNetdisk.exe的進(jìn)程，便會(huì)發(fā)起一個(gè)HTTP請(qǐng)求確認(rèn)版本。

然后會(huì)順手patch一下BaiduNetdisk.exe的進(jìn)程，但是不是真的能加速就不得而知了。不過這也不是重點(diǎn)，重點(diǎn)是patch完之后，它會(huì)繼續(xù)釋放了幾個(gè)真正的木馬文件：

最后再把這個(gè)創(chuàng)建的SysteCsrss.exe跑起來

釋放的三個(gè)程序，其實(shí)是一個(gè)比較典型的白利用遠(yuǎn)控木馬。首先，SystemCsrss.exe帶有“北京世紀(jì)奧通科技有限公司”的簽名。

而改程序啟動(dòng)的時(shí)候，導(dǎo)入表會(huì)自動(dòng)加載那個(gè)libcef.dll：

其次，這個(gè)libcef.dll實(shí)際上也只是一個(gè)Loader。一旦執(zhí)行，回去加載并執(zhí)行最后釋放的那個(gè)名為data.lnk的ShellCode

運(yùn)行起來之后，其實(shí)就是個(gè)普通的遠(yuǎn)控了——先是從一個(gè)服務(wù)器上拿到了遠(yuǎn)控上線域名：

之后就是遠(yuǎn)控上線，接受黑客控制：

最終，在受害人機(jī)器上展示出的現(xiàn)象就是在用戶離開的時(shí)候，黑客利用遠(yuǎn)控程序向受害人機(jī)器下達(dá)命令，創(chuàng)建了一個(gè)新的管理員權(quán)限用戶，再利用微軟自帶的遠(yuǎn)程桌面功能登錄受害人機(jī)器（這樣方便黑客使用圖形界面操縱受害人機(jī)器）：

并在完全不知情的情況下使用受害人賬戶購買了多張iTunes電子禮品卡：

實(shí)際上該程序早已被360識(shí)別并查殺了：

而用戶之所以中招，是因?yàn)橛脩粲袝r(shí)太相信所謂的輔助工具被殺毒軟件“誤報(bào)”是正常現(xiàn)象，所以選擇了自行將木馬程序加入了白名單中：

借此機(jī)會(huì)提供廣大用戶，360不會(huì)隨便誤報(bào)所謂的“外掛”或“輔助工具”，報(bào)毒一定有原因，為了自己的財(cái)產(chǎn)安全，請(qǐng)一定要相信安全軟件的“判斷力”。