如今，不少人為了省錢，會嘗試各種免費的方法獲取網盤或視訊播放器的會員許可權，網上也流傳著不少“網盤不限速神器”或者“播放器VIP破解工具”。不過，這些“神器”既不靠譜更不安全，因為它們已經被木馬盯上了。

近日，360安全中心監測到一批偽裝成“迅雷9.1尊貴破解版”、“百度網盤不限速”工具的遠控木馬正大肆傳播。為了掩人耳目，木馬不僅會新增桌面的快捷方式圖示、軟體安裝的登錄檔資訊，還足足利用了三層白利用才完成安裝。最為精妙的是，其中一層白利用中，木馬利用了BlueSoleil（一款藍芽軟體）的安裝程式，直接修改配置檔案（setup.ini）便實現了對白程式的劫持，讓正規軟體的安裝程式轉眼變成木馬安裝的溫床。

遠控木馬入侵後，會趁中招者不注意安裝Teamviewer等遠端工具，進一步伺機竊取中招者的網銀及遊戲賬號，實現轉賬盜刷及竊取遊戲裝備等操作。據360監測全網資料顯示，該木馬自7月11日集中爆發以來一直陰魂不散，更出現過多次小規模反彈，未來不排除利慾薰心的不法分子持續作案的可能。

下面以“迅雷9.1尊貴破解版”為例進行簡要分析：

圖1

檔案相關性如下圖所示：

圖2

安裝過程：

綠化.exe:將Program目錄下的XLGraphicPlu.DLL改名為XLGraphicPlu.exe並執行：

通過比對迅雷官方檔案發現官網包裡並沒這個檔案。

XLGraphicPlu.exe在桌面建立迅雷快捷方式圖示並新增迅雷安裝相關注冊表資訊以此掩人耳目，同時還執行了SDK目錄下的AssistantTools.cmd。

而有意思的是AssistantTools.cmd實際是藍芽軟體BlueSoleil的安裝程式，它會通過setup.ini的配置，安裝軟體。這個程式被木馬利用，成為了木馬的安裝器。

setup.ini中的內容：

Setup.ini中，執行的lobaby.pif實際是NirCmd，它是一套功能齊全的命令列工具，被攻擊者用來執行木馬安裝，而執行的指令儲存在2345Picture.log中。

2345Picture.log中內容為一段批處理：

head+tale為完整的木馬PE

QMDL.exe檔案是一個被木馬利用的正常程式，會主動去載入同目錄下的QMCommon.dll檔案。而該dll檔案實際是一個含有惡意程式碼的木馬程式。

圖10

QMcommon.dll 利用zc.inf檔案寫啟動項：

會將一段類似安裝驅動的inf（主要用於新增QMDL.exe到啟動項）寫入到c:windowsTempzc.inf裡，並將rundll32.exe改名為zc.exe,同時建立zc.lnk指向：

建立zc.inf:

寫入Zc.inf檔案中的內容如下：

QMcommon.dll：還會載入解密gif.txt記憶體執行

到此為止，木馬完成了安裝。

危害：

載入解密gif.txt記憶體執行之後是一個遠端控制程式，其CC伺服器為：hayden.vancleefarpelspro.com

測試時連線到的是一個廣東佛山順德區的一個ADSL IP：219.128.79.36

![揭祕假破解工具背後的盜刷暗流](http://image.3001.net/images/20170817/15029643418926.png!small)

我們回頭再看安裝的所謂迅雷尊貴破解版，並沒有實現什麼功能上的破解，使用會員功能仍然需要充值。

順便還看到了被打包迅雷之前的下載列表，滿滿的加殼工具！

回到這款遠控，黑客在使用者離開機器時，遠端安裝Teamviewer等遠端工具，並在受害人完全不知情的情況下通過記住密碼的旺旺登入淘寶、支付寶，進行購買禮品卡或轉帳等操作。

根據360的觀察，該木馬從7月11日開始集中爆發，在7月14日達到3500次的傳播量。後在8月初的時候又出現了一波小的反彈，之後的傳播則逐漸下降。

與之對應的域名訪問趨勢也是類似：

360安全衛士早已防禦查殺該遠控木馬，在此建議廣大網民，想獲取VIP許可權，還是通過正規渠道進行辦理。如果想使用破解工具，也一定要在安全軟體的保護下執行，一旦安全軟體進行風險預警，切勿抱有僥倖心理繼續安裝執行。