潜伏是谍战片的重头戏，可放诸网络空间，木马的潜伏就成为了触发安全预警的“暗雷”。近日，360政企安全反病毒团队追踪到，一木马团伙通过篡改网上源码后重新打包软件的方式，利用各类主流即时聊天软件，扩散“暗藏”远控木马的各类“带毒”工具事件，危及政企多端用户安全。

从360安全大脑捕获样本来看，目前已发现遭该木马团队篡改的软件，具体涉及Xfilter（费尔防火墙）和QuickFTP两款产品。而在完成恶意篡改后，该木马团伙还将软件名修改为具有高迷惑性的名称，通过QQ、微信等即时通信软件传播，以诱导不明真相的用户点击，扩散远控木马。

不过广大用户不必过分担心，在360安全大脑的极智赋能下，360安全卫士可快速拦截查杀此类威胁。

锁定防火墙精准投毒

“双面”远控木马流窜多地

顾名思义，防火墙就是计算机内与外网之间的一道安全屏障。从360安全大脑追踪到的数据来看，木马团伙盯上防火墙软件，篡改其网上源码，置入远控木马后重新打包软件，这样就让传统意义上网络安全的“防火墙”，变成了带毒“传染源”。

除此之外，木马团伙为了提高感染率，还将篡改后的防火墙软件命名为“1灯饰品材料设计效果”、”2020-10月财务报表明细.exe”、”2020logo尺寸大小详细.exe”、”1乐心乐园规划园资料.exe”等具有迷惑性的描述，并通过QQ、微信等即时通信软件扩散传播，以诱导用户点击下载。

在对样本进行分析时，360安全大脑发现木马作者相当狡猾，被篡改的软件运行后，如果文件名不符合条件，就展示出正常软件的界面和功能，用以对抗分析人员和各类沙箱；而当文件名称符合预定格式时，就会执行远控木马的相关功能，凭借“两副面孔”流窜网络。

该木马除了具有键盘记录、盗号、截屏等常见远控功能外，还会进一步利用QQ快捷登陆接口盗取QQ群信息，侵害用户隐私和数据。360安全大脑统计数据显示，该木马目前已在国内多个省份广泛传播。

远控木马“试探性”投毒

样本溯源揭露元凶诡秘行踪

在比对关键信息过程中，360安全大脑发现该木马样本修改自XFilter源码。

而在运行后，木马会首先判断bugrpt.log文件是否存在，如若存在会直接读取该文件。否则会从hxxp://146.196.83.133:9527/Code.jpg下载数据到C:\\Users\\Public\\Documents文件下。

随后，则会对数据文件内容进行解密，而解密后的数据是一个动态链接库（dll）文件，木马会定位其导出函数GetQMLogEx并予以执行。

GetQMLogEx()函数首先会判断是否有管理员权限，如果没有则会尝试将自身复制到C:\Users\Administrator\Documents文件夹下运行。

其中内置的远控地址有如下几个：

81.16.137.40

146.196.83.133

180.215.192.63

146.196.83.168

115.231.220.147

运行过程中，木马会循环尝试以上IP，一旦发现远程地址可用，则尝试连接远端地址的2021端口。

之后对文件名进行验证。判断程序本身文件名首字符是否为1~5的数字，如果是才会继续释放后续的木马功能。

木马随后生成一个随机数字，并在C:\Users\Public\Documents目录下新建该随机名的目录。

再复制自身为wowFuncEx.exe到该目录下并执行。

而当该木马以WowFuncEx.exe命名时，就会执行其远控的相关功能。

同时还会复制本文件到同一目录下重命名为MainProEx.exe，作为双进程保护。

通过分析，360安全大脑发现该远控不仅具有盗QQ号、关闭设备、获取键盘记录、添加用户、截屏、添加自启动项、下载程序并运行等在远控木马中常见的恶意功能，甚至还会通过遍历进程的操作检查系统中存在的安全软件，严重威胁数据资产安全。

无惧远控木马威胁

360安全大脑高筑防御壁垒

面对远控木马等各类层出不穷的网络安全威胁，360安全大脑赋能下的新一代防护体系，不仅推出了横向移动防护、软件劫持攻击、无文件攻击等各类应对高级威胁攻击的体系防护能力，还增加了应对RDP爆破攻击，web应用系统漏洞，webshell攻击等多项针对服务器的防护能力。同时，依托于2EB+全网大数据和快速分析发现能力，360安全大脑可第一时间发现软件劫持攻击，文件篡改攻击，供应链攻击等各类新生攻击事件，输出体系化防护能力。

（360安全大脑监控到的各类攻击事件）

目前，在360安全大脑的强势赋能下，360安全卫士等系列产品可在第一时间拦截查杀此类木马威胁。同时，面对强势来袭的远控木马威胁，360政企安全反病毒中心针对广大政企多端用户，给出如下安全建议：

1.对于个人用户，可及时前往weishi.360.cn下载安装360安全卫士，全面拦截各类木马病毒攻击；

2.对于广大政企用户，可通过安装360终端安全管理系统，有效拦截木马病毒威胁，保护文件及数据安全，详情可通过400-6693-600咨询了解；而对于小微企业，则可直接前往safe.online.360.cn，免费体验360安全卫士团队版，抵御木马病毒攻击；

3.对于安全软件报毒的程序，不要轻易添加信任或退出安全软件；

4.不随意打开陌生人发来的各种文件。