“绿色软件”不绿色，办公助手变扒手！

话说，春回大地暖起来，黑客也伺机活跃来作妖。这次，他们全副伪装，看准“金三银四”好时令，从办公软件下手，打起了精英白领的主意。

近日，360安全大脑监测发现一款伪装成办公软件的木马程序，该木马不仅伪装成“单据打印系统”这类常用办公软件，它还以合法有效的软件数字签名做掩护，乔装打扮成“绿色软件”进军电脑，并避开安全软件的查杀。



在以“易容之术”蒙混过关完成入侵的第一步后，该木马便会在电脑中“见机行事”潜伏工作，这时不管是键盘记录、屏幕控制、语音监听、文件管理等等功能都难逃其毒手！不过广大用户无需担心，360安全大脑第一时间实现针对此木马的查杀。

正可谓，不管你如何七十二变，都难逃如来佛祖神掌。长舒一口气后，我们不妨看看这样“深谋远虑”的木马小妖是如何一步步混过审查，并伺机搞破坏的。

木马小妖作战第一步：

瞒天过海，先买个“绿色马甲”穿起来

这次行动，木马小妖为自己准备了个“绿色马甲”，妄想通过伪装成正规公司来提交软件，企图蒙混过关。而这个软件看起来很像是正规公司开发的。



经360安全专家对此恶意软件溯源分析，发现该软件公司的营业执照，确认此公司确实存在。

签名公司的营业执照

不仅如此，除“正规”营业执照外，木马作者还特定为该公司申请了合法有效的数字签名《南充市庆达商贸有限公司》。这里需和广大小伙伴补充下，一般来说，计算机会选择信任那些拥有数字签名的“正规软件”，并为其开启“绿色通道”；而那些恶意程序会因360安全大脑的实时监测和持续查杀，全军覆没在入侵路上。看来，木马小妖如此绞尽脑汁地谋划，只为混过安全软件的审查。

当该恶意软件提交到360软件商店申请过白时，为防止夜长梦多，在软件审核期间，该作者会多次通过电话和邮箱催促，一再强调自己是正常软件，真是有一件“绿色马甲”穿在身，从此“畅行全天下”的气势与胆量。

木马作者邮件催促，妄图混过审查

此外，对于开发者来说如果成功提交到软件商店，一方面进入查杀白名单，被拦截的概率变低，另一方面意味着通过商店传播，拥有了更广的投毒渠道。为了作妖，可真是煞费苦心。

木马小妖作战第二步：

见机行事，撕下伪装“黑色内核”伺机换起来

在揭开木马小妖的真面目时，对它的谋划点评为“精心”一点不为过。它不仅备了“绿色马甲”，实际他还暗藏了一件“黑色内核”，并待有利时机，撕开伪装“伺意作恶”。



具体而言，就是这款“单据打印系统”软件不会一上来就执行恶意程序，而是首先检测你的电脑云控地址是否开启，如果没有开启那么软件将会运行无害的流程，一副“绿色软件”正常工作的样子。

云控未开启的运行状态，正常打印功能

但是，一旦发现你电脑云端开启工作指示，那么该软件就会立马脱去伪装，露出黑暗的魔爪，运行潜伏工作，从云端下发和释放恶意文件，对用户电脑进行安装布置，直至完全控制用户电脑，例如消息弹窗、键盘记录、屏幕控制、语音监听、视频查看等等功能。

该木马部分远控指令

精心准备也枉然，

360安全大脑第一时间将作妖木马就地正法

不管如何精心谋划、有备而来，再厉害的小妖，也难逃被就地正法的结局，360安全大脑已国内首家实现对该木马的查杀。

针对该木马的攻击态势，360安全大脑提醒广大用户要做好以下防范措施保护电脑安全：

1、建议广大用户前往weishi.360.cn，及时下载安装360安全卫士，保护个人信息及财产安全；

2、使用360软件管家下载软件。360软件管家收录万款正版绿色软件，经过360安全大脑白名单检测，下载、安装、升级，更安全；

3、避免下载、接收和运行不明来源的文件，以防中招。

来源 360安全卫士