资讯中心 业界 正文

近期，360安全大脑监测到大量远控木马的传播，经过深度分析，发现该木马是“Torchwood”远控木马的新变种。曾经该木马通过下载网站、钓鱼邮件和QQ群等方式传播，都已被360安全大脑全面查杀，而最近的更新则有 卷土重来的迹象。

这一次该木马再度延用“CHM钓鱼攻击”的传播方式，并配合极具迷惑性的标题，诱导用户打开木马文件，使其在不知不觉中遭受攻击。广大用户不必过分担心，目前360安全大脑已全面拦截该木马的攻击，建议用户及时下载安装360安全卫士保护电脑隐私及数据安全。

CHM文件“鱼目混珠”潜入系统

“白加黑”作案手法屡试不爽

什么是CHM文件呢？大家不要觉得CHM文件很“冷门”，它是经过压缩的各类资源的集合，日常中支持图片、音频、视频、Flash、脚本等内容，因为方便好用、形式多样，也可算是文件格式界里的“经济适用款”，越来越多的电子书、说明文档都采用了CHM格式。在大多数人的印象中，CHM类型文件是“无公害”文档文件，但只要加以利用便可以“鱼目混珠”潜入系统躲过杀软，并发起隐秘攻击。事实上，360安全大脑监测到的多起攻击事件中，都可以看到 CHM 文件的影子，这类手法也被业界形象地称为“白加黑”攻击。

历史手法，又在重演。本轮攻击中，360安全大脑发现木马作者再次利用了CHM文件，再配上能够引起用户兴趣的敏感标题，然后通过下载网站、钓鱼邮件和QQ群等渠道传播，最终诱导用户打开木马文件，达到控制用户电脑，盗取帐号密码及重要资料等目的。

（与“钱财”等有关的诱惑性标题）

360安全大脑对该CHM文件进一步溯源分析，发现Torchwood远控木马的攻击核心是加入了具有云控功能的HTML脚本。当用户运行虚假的CHM文件后，“精心乔装”的虚假网页访问404图片便会自动弹出，与此同时，潜伏在系统后台已久的攻击程序也同时悄然运行。

360安全大脑对该混淆代码分析，发现其攻击流程如下：

1、利用certutil.exe 下载一张网站访问404的截图run.jpg，用来欺骗用户。

2、利用certutil.exe 下载压缩后的攻击模块temp1.jpg。

3、利用certutil.exe 下载解压用的WinRar工具helloworld.jpg。

4、运行WinRar工具，用来解压攻击模块，密码为“Tatoo”。

上一页 1 23下一页