高考結(jié)束，焦急的家長可能會(huì)收到來自“教育部”的一條短信，告訴你高考成績可以通過 App 查詢，同時(shí)還附有下載鏈接。

618購物節(jié)臨近，剁手黨們可能會(huì)收到200元“紅包”，并且提示你心儀已久的手機(jī)可以用紅包抵扣貨款。

《太陽的后裔》中，姜暮煙、柳時(shí)鎮(zhèn)這對(duì) cp 究竟還會(huì)用什么姿勢虐狗，糾結(jié)的粉絲可能會(huì)搜索到網(wǎng)盤鏈接，希望下載到所有搶鮮的劇集。

當(dāng)你懷著急切的心情打開網(wǎng)絡(luò)世界的一扇門，看到的很可能是一只喬裝改扮的木馬。

木馬是這個(gè)世界上變異最快的物種之一，黑色或灰色產(chǎn)業(yè)的經(jīng)濟(jì)鏈條帶動(dòng)這些“毒蟲”晝夜不眠摧枯拉朽地進(jìn)化。

這些木馬究竟用什么姿勢潛伏在我們生活的街角，又是用什么姿勢猛然從我們大腿上咬掉一塊肉呢？這一點(diǎn)，騰訊電腦管家的安全專家劉桂澤很有發(fā)言權(quán)。因?yàn)樗贫娴摹肮脚_(tái)”專門為電腦管家提供殺毒引擎，手刃木馬是他們的拿手好戲。

【騰訊電腦管家 哈勃平臺(tái)負(fù)責(zé)人 劉桂澤】

《甄嬛傳》和《太陽的后裔》都能傳播木馬

劉桂澤告訴雷鋒網(wǎng)，對(duì)熱點(diǎn)事件的攀附其實(shí)并不是什么新的現(xiàn)象。對(duì)于挖空心思極盡所能攫取利益的木馬作者來說，捕捉時(shí)事熱點(diǎn)是他們的“基本功”。只要利用你的欲望或者恐懼，讓你成功地下載了木馬，第一步就大功告成了。

無論是雙11、雙12，或者是618，凡是全民關(guān)注的購物狂歡節(jié)活動(dòng)，幾乎都會(huì)有各牛鬼蛇神前來“掘金”。這種活動(dòng)不僅參與的人群眾多，而且在這樣的情況下用戶很容易放松警惕。

除此之外，例如高考、新年這種固定的社會(huì)事件，對(duì)于特定的用戶來說也是一年一度的“劫難”。當(dāng)然，時(shí)下的熱播劇——例如當(dāng)年的《甄嬛傳》和如今的《太陽的后裔》——同樣會(huì)成為陷阱。熱切地想要知道劇情發(fā)展的粉絲往往會(huì)迷失了雙眼，下載了一堆惡意軟件仍然執(zhí)迷不悔。

【下載了《太陽的后裔》之后，桌面上出現(xiàn)了奇怪的網(wǎng)頁快捷方式/圖片由哈勃平臺(tái)提供】

總之，只要參與某一件事的人數(shù)眾多，就少不了形形色色的木馬和他們背后殷紅的陷阱。

故事的開始總是相似的，無辜的童鞋由于各種原因下載了木馬。而接下來，他們會(huì)見證各種“兇殘”的事情發(fā)生在自己身上。

密鎖敲詐

如果你中了密鎖敲詐類的木馬，那么恭喜你，你幾乎觸摸到了“木馬界的皇冠”。在你毫不知情的情況下，自己電腦上所有的文檔和照片都被加密。而當(dāng)你意識(shí)到這一切發(fā)生的時(shí)候，將會(huì)看到突然彈出的警告框：你的文件已經(jīng)被我們鎖定，向我的賬戶轉(zhuǎn)賬1比特幣就可以解鎖文檔。（1比特幣大致相當(dāng)于3000人民幣，當(dāng)然不同種族和流派的木馬索要的贖金可能不同。）

【某中文密鎖木馬的勒索界面和勒索信】

這種密鎖類的木馬從2015年下半年開始“火了”，一開始我們監(jiān)測到一些德文的木馬，很快就有英文的版本出現(xiàn)了，而到春節(jié)的時(shí)候就出現(xiàn)了繁體中文版本，今年上半年又出現(xiàn)了簡體中文的密鎖敲詐木馬。你可以很清楚地感覺到這類木馬進(jìn)化的節(jié)奏。

劉桂澤說。

根據(jù)哈勃系統(tǒng)的統(tǒng)計(jì)數(shù)據(jù)，一款敲詐木馬爆發(fā)最高峰的時(shí)候，一天可以感染將近一萬臺(tái)次的電腦。雷鋒網(wǎng)曾經(jīng)對(duì)發(fā)生在我們身邊的一次密鎖敲詐木馬爆發(fā)做過詳細(xì)的報(bào)道，感興趣的童鞋可以《《《戳這里》》》。

詐騙木馬

由于用戶往往是在受騙狀態(tài)下下載的這類木馬，所以為了合理地潛伏在你的手機(jī)或電腦里，他們往往提供一些用戶所期待的“正常功能”——例如欣賞一下小電影什么的。

然而，這類木馬的最主要功能其實(shí)是盡可能詳細(xì)地收集你的個(gè)人信息。

以之前提到的“高考成績查詢 App”為例，用戶永遠(yuǎn)不可能成功安裝這個(gè) App，因?yàn)樘崾居脩簟鞍惭b失敗”是陰謀的一部分。用戶以為安裝失敗，自然放松了警惕。事實(shí)上，這個(gè)木馬已經(jīng)盤踞在后臺(tái)，靜默地翻取你的通訊錄和短信，然后找到其中的“爸爸、媽媽、姐姐”等重要聯(lián)系人信息和帶有你的銀行卡號(hào)、家庭住址、生活習(xí)慣等信息的短信，一并傳回騙子掌握的服務(wù)器。

【高考成績查詢 App 的“安裝失敗”界面/圖片由哈勃平臺(tái)提供】

根據(jù)這些極度敏感的信息，騙子可以有針對(duì)性地對(duì)某個(gè)人發(fā)起詐騙。一個(gè)可以說得出你的家庭住址和生活愛好，并且認(rèn)識(shí)你至親的人，可以很容易博取你的信任，接下來騙子將要使出的招數(shù)就是我們熟悉的電信詐騙了。

廣告木馬

劉桂澤告訴雷鋒網(wǎng)，這種木馬是最近最為猖獗的一類，占到了木馬總量的 30% 到 40%，而且還處在逐月遞增的態(tài)勢中。

這類木馬已經(jīng)不從被感染者身上賺錢了，而是從廣告商那里賺推廣費(fèi)。

這類羊毛出在豬身上的互聯(lián)網(wǎng)商業(yè)思維精髓已經(jīng)被黑色產(chǎn)業(yè)完整掌握了。這類木馬同樣肆虐在 PC 和手機(jī)兩大平臺(tái)，在手機(jī)上，它們一般偽裝成為用戶需要的軟件，但是在使用過程中，它們會(huì)偷偷地接受遠(yuǎn)程控制，為用戶靜默地安裝一大堆其他 App。

這些 App 很可能不是惡意的，而僅僅是有推廣需求的 App。他們希望通過種種渠道推廣自己，最終這樣的任務(wù)就有一部分落在了灰色產(chǎn)業(yè)的木馬身上。這種木馬推廣和地推在道理上是一樣的。

劉桂澤告訴雷鋒網(wǎng)，哈勃平臺(tái)不久前剛剛預(yù)警查殺了一個(gè)爆發(fā)的廣告木馬，他的小伙伴給這個(gè)木馬命名為“暗影鼠”。

“我覺得我們起的這個(gè)名字還是很形象的。暗影代表捉摸不定，老鼠又是見不得光的。這種木馬做的事情非常簡單，就是把你電腦所有瀏覽器的導(dǎo)航頁廣告渠道改成他的。用戶絲毫感覺不到導(dǎo)航界面有任何變化，通過導(dǎo)航訪問的網(wǎng)站也沒有任何變化。但其實(shí)背后的訪問渠道已經(jīng)發(fā)生了變更，這樣一來，網(wǎng)站的推廣費(fèi)用就會(huì)流到木馬使用者的手里。

這個(gè)木馬在5月23日被系統(tǒng)捕捉，我們馬上研究并且下發(fā)了查殺規(guī)則，此刻全網(wǎng)的樣本數(shù)量只有十萬。由于規(guī)則下發(fā)到生效需要一定的時(shí)間，到第二天凌晨的時(shí)候全網(wǎng)的爆發(fā)量居然飆升到了40萬，直到電腦管家開始大規(guī)模掃描之后，“疫情”才得到了控制。

以上這三種木馬當(dāng)仁不讓地組成了這個(gè)月最為猖獗的 Top3。劉桂澤說，最近一年可以很明顯地看到黑產(chǎn)“離錢更近”了。以前的盜號(hào)木馬，在盜取了QQ號(hào)和密碼之后，如果QQ本身沒有攜帶Q幣等虛擬財(cái)產(chǎn)，那么就需要通過“撞號(hào)”之類的手段，例如嘗試用相同的賬號(hào)密碼登陸郵箱、淘寶、京東才能最終“撈”到錢。

現(xiàn)在看來，木馬的“老板”——這些黑帽黑客們還是覺得傳統(tǒng)的辦法準(zhǔn)確率不高，而且浪費(fèi)時(shí)間，轉(zhuǎn)而探索了“有特色的新型發(fā)展道路”。

木馬也會(huì)兵法

查殺病毒木馬，其實(shí)是和他們背后的從事黑色產(chǎn)業(yè)的人較量。這是一場無休止的“持續(xù)對(duì)抗”。他們不斷翻新“犯罪技術(shù)”，我們也不斷破解他們的“作案手段”。

劉桂澤和團(tuán)隊(duì)發(fā)現(xiàn)，最近不同種族不同流派的木馬，“修煉”出兩個(gè)非常特別的“招式”。

隱身

讓自己的存活期更長，是木馬的追求。即使能在電腦、手機(jī)上多呆半天，甚至多呆半個(gè)小時(shí)，就可以多盜取一些用戶信息，多推廣一點(diǎn)自己的“小伙伴”。也可以和殺毒軟件博弈的時(shí)間更長，不用馬上投入精力研究新的變種來對(duì)抗圍剿自己的殺毒軟件。

由于哈勃系統(tǒng)主要采用機(jī)器規(guī)則的方法來自動(dòng)判斷病毒木馬，所以每天有大量的文件樣本會(huì)經(jīng)過哈勃的篩查。然而，哈勃團(tuán)隊(duì)發(fā)現(xiàn)了一個(gè)有意思的現(xiàn)象。那就是：有那么一些程序，在虛擬運(yùn)行環(huán)境下沒有任何功能，也不做任何動(dòng)作。

拜托你是個(gè)軟件，你被安裝運(yùn)行之后什么也不做究竟是為什么？你哪怕訪問一個(gè)網(wǎng)頁呢。。。

研究員的內(nèi)心是崩潰的，難道真的有人會(huì)無聊到寫一個(gè)什么都不做的程序嗎？敏銳的嗅覺告訴他們，這其中一定有“貓膩”。

果然，經(jīng)過仔細(xì)研究他們發(fā)現(xiàn)，這類木馬在被運(yùn)行之后，首先要做的動(dòng)作就是“沉默”。

“沉默的時(shí)間從幾分鐘到幾十分鐘不等，最長的一個(gè)木馬竟然沉默一個(gè)小時(shí)?！眲⒐饾烧f，“為了提高效率，檢測平臺(tái)不會(huì)對(duì)同一個(gè)文件檢測60分鐘，默認(rèn)設(shè)置一般都是秒級(jí)。而如果換做傳統(tǒng)的人工審計(jì)代碼方式，又至少需要十幾分鐘到幾十分鐘。而且現(xiàn)在的木馬代碼一般都經(jīng)過了重度混淆加密，甚至可以做到一邊執(zhí)行一邊解密，所以人工審計(jì)的方式效率也非常低?！?/strong>

不過，對(duì)付這種難纏的木馬，研究員想出了一套簡單的規(guī)則。那就是讓哈勃系統(tǒng)在檢測的時(shí)候，一旦遇到可以的“沉默程序”，就主動(dòng)跳過沉默的代碼段，直接執(zhí)行真正的命令操作。

當(dāng)然，隱身的招數(shù)并不只有“沉默”這一種。還有一種傳統(tǒng)的隱身方式：像寄生蟲一樣把自己隱藏到文檔里，最近又開始“重現(xiàn)江湖”。這就是宏病毒。

安全的博弈過程就是這樣，“黑道”想到了一個(gè)辦法，安全廠商就會(huì)不斷封堵；如此循環(huán)下去，“黑道”可能突然發(fā)現(xiàn)最開始的方法又有用了。當(dāng)然不是簡單的重復(fù)這種方法，而是疊加了更新技術(shù)的“升級(jí)版”

由于 Office 的文檔有時(shí)需要顯示動(dòng)畫效果或進(jìn)行動(dòng)態(tài)數(shù)據(jù)統(tǒng)計(jì)，所以其實(shí) Word 或 PPT 之類的文檔實(shí)際上允許可執(zhí)行代碼存在于其中。但是，由于過去飽受宏病毒困擾，微軟在新版本的 Office 中會(huì)默認(rèn)禁止宏運(yùn)行。然而，無底線無操守的黑帽黑客把釣魚郵件和隱私竊取都疊加到了一起。他們的做法是：

搞清楚你的職業(yè)和個(gè)人信息。然后有針對(duì)性地給你發(fā)一封足以以假亂真的工作郵件——例如報(bào)銷發(fā)票信息、行業(yè)協(xié)會(huì)通知、客戶訂單——讓你沒有不打開附件的理由。而在郵件中，“客戶”還會(huì)“溫馨提示”你，我的附件里面有報(bào)價(jià)，當(dāng) Excel 提示你是否需要開啟宏的時(shí)候，一定要點(diǎn)同意哦親~~

雷鋒網(wǎng)表示人間最可寶貴的信任似乎被撕裂了。。。

云控

就像自動(dòng)巡航、停車熄火、倒車?yán)走_(dá)逐漸成為汽車的標(biāo)配一樣，“云控”也開始成為木馬的標(biāo)配了。作為一個(gè)木馬，如果不能實(shí)現(xiàn)云端控制，出門都不好意思和人打招呼。

劉桂澤說，“靈活快速”是云控的最大優(yōu)點(diǎn)，它可以讓木馬和黑客的服務(wù)器保持實(shí)時(shí)的聯(lián)系，根據(jù)具體情況作出最精確的反應(yīng)：如果發(fā)現(xiàn)你的機(jī)器安裝的是 Windows XP，會(huì)馬上下發(fā)一套針對(duì) XP 的“作戰(zhàn)策略”；如果是 Windows 7，那么就會(huì)下發(fā)一套“Win7 作戰(zhàn)計(jì)劃”；如果是手機(jī)，也可以搞定。

而且，通過云控，黑客甚至可以控制木馬的生命周期。例如在受害者的電腦上存在一天之后，這個(gè)木馬就會(huì)被強(qiáng)制升級(jí)成最新的 2.0 版本。

木馬家族的更新速度超出一般人的想象，最快的10分鐘就會(huì)更新一版。所謂的更新，就是代碼結(jié)構(gòu)、加密格式、侵害動(dòng)作的序列都會(huì)發(fā)生調(diào)整。要想實(shí)現(xiàn)這么快的更新速度，黑客有可能一次做了很多木馬，然后按照節(jié)奏釋放出來，還有可能研究了一整套自動(dòng)化的工具對(duì)木馬做代碼變換。

神魔斗法

對(duì)于這種琢磨不定的木馬形態(tài)，安全專家只能抓住木馬最根本的特征——“行為”進(jìn)行尋找。為了第一時(shí)間檢測出最新的木馬，檢測系統(tǒng)只得晝夜不眠，7*24小時(shí)運(yùn)轉(zhuǎn)。

對(duì)劉桂澤和哈勃團(tuán)隊(duì)來說，他們的任務(wù)并不是手動(dòng)判斷一個(gè)程序到底是不是木馬，而是用自己的經(jīng)驗(yàn)和理解創(chuàng)造出一條條識(shí)別木馬的規(guī)則，然后讓哈勃系統(tǒng)學(xué)會(huì)這套規(guī)則。不斷累加的規(guī)則可以讓系統(tǒng)對(duì)于木馬的判斷的準(zhǔn)確度不斷接近這些安全專家。

劉桂澤舉了幾個(gè)簡單的判定規(guī)則：

1、如果一個(gè)軟件上來就給電腦來個(gè)全盤掃描，而且對(duì)這么大批的文件不僅讀，竟然還寫，這就是很明顯的密鎖敲詐木馬的行為。因?yàn)檎５能浖缀跏菦]有必要進(jìn)行全盤掃描的。

2、一個(gè)軟件運(yùn)行之后就聯(lián)網(wǎng)，這個(gè)動(dòng)作本來無可厚非，但如果他每次聯(lián)網(wǎng)去請(qǐng)求的都是一些控制信息，而且這些控制信息還和軟件本身無關(guān)，那么這就是很可疑的推廣木馬。例如QQ在后臺(tái)聯(lián)網(wǎng)，一定是下載和自己有關(guān)的信息，例如更新包。但是推廣木馬請(qǐng)求的一般是一大串軟件列表加上下載地址，這種特征是很明顯的。

3、從移動(dòng)端來說，正常的 App 運(yùn)行之后，一旦用戶點(diǎn)擊 Home 鍵，它就應(yīng)該進(jìn)入沉默狀態(tài)，最多就是偷偷聯(lián)網(wǎng)上報(bào)一下用戶數(shù)據(jù)做統(tǒng)計(jì)之用。如果一個(gè) App在后臺(tái)有大量頻繁的操作，例如讀取隱私信息和通訊錄，甚至向系統(tǒng)申請(qǐng)短信監(jiān)聽的權(quán)限（這種權(quán)限一般用在“注冊碼自動(dòng)填寫”等提升用戶體驗(yàn)的功能上）。那么這個(gè) App 的行跡就很可疑。

4、之前提到的“暗影鼠”木馬，在安裝之后會(huì)馬上掃描用戶都安裝了哪些瀏覽器，同時(shí)掃描用戶都安裝了哪些殺毒軟件。這種行為也是非?？梢傻摹?/strong>

聽上去這種規(guī)則涇渭分明，黑白立判。但是劉桂澤說訓(xùn)練機(jī)器的最大難度在于“度的把握”。

機(jī)器的特點(diǎn)是“一是一、二是二”，而人最大的特點(diǎn)是“一不是一，二不是二”。例如某件事，張三找我?guī)兔ξ腋?，李四找我?guī)兔ξ揖筒桓?。例如某用戶量很大的程序深受用戶喜愛，但是它?huì)對(duì)用戶的注冊表進(jìn)行修改，這種情況我們沒辦法不放行；而一些小的軟件修改用戶的注冊表，我們就可能會(huì)認(rèn)定它是木馬程序。

劉桂澤面對(duì)的困難，也正是機(jī)器和人之間的能力鴻溝。不過，經(jīng)過海量的樣本進(jìn)行大量的訓(xùn)練，哈勃系統(tǒng)還是在朝著更聰明和更“像人”的方向演進(jìn)。這一點(diǎn)讓劉桂澤很欣慰。

哈勃系統(tǒng)每天要測試幾千萬的樣本文件，但是到最后還是有不到一千個(gè)高度模糊的文件留給我們的研究員。當(dāng)然我們的目的不是把這一千個(gè)文件歸類。而是通過研究這些文件的特點(diǎn)，研究出新的規(guī)則，讓更新之后的系統(tǒng)可以有效判斷這些文件?，F(xiàn)在每天會(huì)產(chǎn)生千八百個(gè)模糊文件，也許到了明年的這個(gè)時(shí)候，每天就只有十個(gè)八個(gè)模糊文件產(chǎn)生了。

實(shí)際上，對(duì)于哈勃來說，研究員對(duì)于規(guī)則的改進(jìn)還是相當(dāng)有成效的。過去團(tuán)隊(duì)有五個(gè)規(guī)則開發(fā)專家，十個(gè)樣本分析專家；而到了現(xiàn)在只有兩個(gè)樣本分析專家，其余的專家全部投身規(guī)則的研究制定。

只要存在獲利的空間和善良的人們，惡意的木馬似乎就永遠(yuǎn)沒有消失的可能。在劉桂澤的眼中，往往他們對(duì)一個(gè)木馬家族剛剛搞清楚，另外的木馬就爆發(fā)了。安全專家和木馬作者已經(jīng)成為了這場永無止境戰(zhàn)爭的兩支常駐軍。

既然無法根除人性當(dāng)中的惡念，那么我們不如期待在這樣的神魔斗法中，出現(xiàn)更多精彩的戰(zhàn)役。

延伸閱讀：

《在網(wǎng)上給綁匪交贖金是一種怎樣的體驗(yàn)？》

《在敲詐之前，黑客們都是如何給勒索軟件加密的？》

《黑客勒索！一個(gè)能說出你名字、電話和職位的“熟人”，可能會(huì)鎖住你的電腦》

更多的技術(shù)內(nèi)容可參考《騰訊反病毒實(shí)驗(yàn)室哈勃分析系統(tǒng)，四月威脅情報(bào)態(tài)勢報(bào)告》

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。