近期腾讯反病毒实验室捕获了一批针对性攻击的高级木马，该木马使用近期热门的时事话题做诱饵，对特殊人群做持续针对性攻击，目前腾讯电脑管家已经能够准确拦截和查杀该木马。

木马介绍

该木马主要通过邮箱等社交网络的方式对特定用户进行针对性推送传播，原始文件伪装成常见的windows 软件安装程序，一旦用户运行了该木马文件，便会将包含 0day 漏洞的一个第三方软件及相应的库文件释放到指定目录中，同时释放一个加密的数据文件到同一目录下。将含有针对性0day 漏洞攻击的命令行参数传递给该文件执行。随后进行自毁操作，不留痕迹。

该木马释放出的所有 PE文件均为 9158多人视频聊天软件的模块，具有很大的用户群，文件有完整且正确的该公司的数字签名信息。其中的science.exe 在解析命令行参数时存在缓冲区溢出漏洞，且编译的时候未开启 GS 等安全开关，触发后能够执行参数中携带的任意 Shellcode 恶意代码。这也是木马找到这个白文件漏洞来利用的原因，用户群体大，漏洞非常方便利用。由于恶意代码是在正常文件的内存中直接执行，同时在磁盘中驻留的文件均为正常软件的白文件，因此此木马绕过了几乎所有安全防护软件。腾讯电脑管家使用了云查引擎，第一时间发现并查杀该木马，同时已经第一时间通知相关厂商修复该漏洞。

木马加载执行的详细过程

1、首先释放文件到指定目录，共 5个文件，其中 science.exe、DDVCtrlLib.dll、 DDVCtrlLib.dll均是9158多人聊天软件的相关文件，Config.dat是一个加密的数据文件，t1.dat是一个配置文件。

2、带参数运行 science.exe，其中参数共 0×2003 字节，随后原始木马文件进行自毁操作

3、由于 science.exe对输入的参数没有检查，当输入的参数长度过长时，造成栈溢出

木马通过创建服务来实现永久地驻留在用户电脑中，实现长期地监控。完成服务创建后，即完成了木马的安装过程，为了隐蔽运行不被用户发觉，木马服务启动后会以创建傀儡进程的方式注入到svchost.exe进程中，在该进程中连接C&C服务器，连接成功后黑客便可通过该木马监视用户桌面、窃取用户任意文件、记录用户键盘输入、窃取用户密码、打开摄像头和麦克风进行监视监听等。从而实现远程控制目标计算机的目的。

文章来源：FreeBuf黑客与极客（FreeBuf.COM）