近期，360安全大腦攔截到一批依靠激活工具，註冊機等小程序，通過各種論壇，QQ羣傳播的遠控木馬，感染後會利用一款內網監控軟體實現對用戶機器的遠程控制，監控計算機的上網瀏覽，文檔、列印操作，屏幕快照，即時通訊，郵件等活動，目前已感染上千臺機器。

不過廣大用戶無需擔心，360安全衛士可精準攔截此類木馬，建議廣大用戶及時下載安裝360安全衛士，保護電腦隱私及財產安全。

?

該木馬依靠下圖所示的各類小程序，通過各種論壇，社交軟體等進行傳播。

??

用戶運行攜帶木馬的小程序後，會激活攜帶的惡意代碼，在%temp%目錄下釋放並執行svchost.exe，svchost.exe再次釋放Agent.exe和配置文件OAgent.ini，以上邏輯均使用Autoit3腳本完成，相關的代碼如下圖所示：

?

此處釋放的Agent.exe是一款內網監控軟體ViaControl的代理模塊，該內網監控軟體可以實現監控計算機上所進行的活動，包括應用程序的運行，上網瀏覽，文檔操作和列印，屏幕快照，即時通訊內容，郵件內容等，功能非常強大。而病毒作者則通過白利用的技術手段，使用該內網監控軟體控制中毒的機器。Agent.exe文件屬性如下：

OAgent.ini中包含病毒作者的控制伺服器等配置信息：

??

控制伺服器對應的IP地址為:

??

Agent.exe在部署完代理端的環境之後，會讀取配置文件中的伺服器地址並嘗試進行連接。利用wireshark抓取遠控上線的握手包，如下圖所示：

針對此類利用白名單繞過安全軟體檢測從而實施攻擊的遠控木馬，360安全大腦見招拆招進行了專項查殺，建議用戶前往http://weishi.360.cn，下載安裝360安全衛士，保持軟體開啟攔截該木馬攻擊。

推薦閱讀：