提起遠控木馬，灰鴿子、Gh0st等等都是臭名昭著。與這些木馬相比，商業(yè)級遠控軟件的監(jiān)控能力毫不遜色，只不過這類軟件有著合法身份，并且在安裝和運行時都會有明顯提示。

但如果商業(yè)級遠控軟件能夠被黑客玩壞，讓它實現(xiàn)隱藏運行，那么它就會變成威力巨大的遠控木馬，因為這類商業(yè)級軟件會被大多數(shù)安全廠商識別為合法程序。

360QVM團隊就數(shù)次發(fā)現(xiàn)商業(yè)級遠控軟件遭惡意利用的情況，在此進行詳細分析。

0x01 樣本概況

樣本是個常見的使用色情誘惑類名稱的壓縮包“我們小姐的相片”，在解壓后得到一個批處理文件和一個隱藏的文件夾。依靠色情等擦邊球傳播，這是木馬病毒慣用的手段。

隱藏文件夾內(nèi)文件如下：

批處理文件經(jīng)過混淆加密，用以對抗靜態(tài)檢測：

0x02 批處理流程

對批處理文件的解密結果：

其中主要命令為：

Part 1：

獲得當前日期時間并保存到ok.txt，形如201510151742；

帶參數(shù)運行ge.log，即進入命令行版的rar；

解壓文件user.txt到文件夾user，并刪除源文件。

Part 2：

之后則是創(chuàng)建文件夾c:user0和c:78g并復制解壓的文件。

user0目錄：

78g目錄：

此時另外兩個文件開始運行：

ok.txt是之前命令運行生成的包含當前日期時間的文件，tu1.txt是user目錄中原有文件。

再運行pb.bat，此時該目錄下僅剩一個名為照片的快捷方式。

Part 3：

pb.bat中內(nèi)容同樣是混淆加密的：

解密后命令：

ok.txt是之前保存有當前日期時間的文本，此處通過查找字符來判斷樣本激活時間是否在指定時間范圍內(nèi)。

添加注冊表。此處添加的內(nèi)容將在下面介紹。

打開一張圖片，此時的“照片”，方才成為真正的圖片。

至此，批處理的命令已經(jīng)結束，全程不存在病毒。當用戶想再次打開“照片”時，則會運行“照片.lnk”指向的程序。

0x03 利用小眾軟件隱藏遠控程序

照片所指，是一款名為裝模作樣的窗口隱藏工具，usersys.ini是該軟件的配置文件。

該軟件也并不是病毒，其配置文件具備“指定啟動時自動隱藏并運行指定程序”的功能。

樣本預設的配置，使svchnst.exe運行時便會啟動C:user0svchest.exe并隱藏這兩個程序的界面。

而svchest.exe實為一款名為“網(wǎng)靈”的商業(yè)遠控受控端。對于具有合法身份的商業(yè)遠控，很多殺毒軟件原則上也是不報毒的。

該程序運行時原本有明確提示；但由于svchnst的隱藏運行，該遠控受控端的圖標和提示便被隱藏。

因為網(wǎng)靈受控端安裝包在安裝時需要填入網(wǎng)靈服務id和密碼，并將這些信息保存到注冊表hklmsoftwareanypc01中：

這也可以解釋上述批處理命令中，需要添加注冊表的原因。

0x04 總結

病毒作者事先在一臺電腦上用商業(yè)遠控配置好受控端，使用批處理來添加同等配置信息；再借助一款窗口隱藏工具，隱藏商業(yè)遠控端開啟時的提示。這樣，受害者在不知不覺間，就遭到了攻擊者的毒手；而攻擊者也無需編寫惡意程序，通過合法商業(yè)遠控的隱藏實現(xiàn)就控制了受害者的電腦。 在此我們提醒廣大網(wǎng)友：木馬并不只是exe等可執(zhí)行程序，類似.bat這樣的腳本文件同樣很危險。如果遇到不熟悉的文件格式或是陌生人發(fā)來的可疑文件，切莫輕易點擊運行。