高考結(jié)束，焦急的家長可能會收到來自“教育部”的一條短信，告訴你高考成績可以通過 App 查詢，同時還附有下載鏈接。

618購物節(jié)臨近，剁手黨們可能會收到200元“紅包”，并且提示你心儀已久的手機可以用紅包抵扣貨款。

《太陽的后裔》中，姜暮煙、柳時鎮(zhèn)這對 cp 究竟還會用什么姿勢虐狗，糾結(jié)的粉絲可能會搜索到網(wǎng)盤鏈接，希望下載到所有搶鮮的劇集。

當(dāng)你懷著急切的心情打開網(wǎng)絡(luò)世界的一扇門，看到的很可能是一只喬裝改扮的木馬。

木馬是這個世界上變異最快的物種之一，黑色或灰色產(chǎn)業(yè)的經(jīng)濟鏈條帶動這些“毒蟲”晝夜不眠摧枯拉朽地進(jìn)化。

這些木馬究竟用什么姿勢潛伏在我們生活的街角，又是用什么姿勢猛然從我們大腿上咬掉一塊肉呢？這一點，騰訊電腦管家的安全專家劉桂澤很有發(fā)言權(quán)。因為他掌舵的“哈勃平臺”專門為電腦管家提供殺毒引擎，手刃木馬是他們的拿手好戲。

【騰訊電腦管家 哈勃平臺負(fù)責(zé)人 劉桂澤】

《甄嬛傳》和《太陽的后裔》都能傳播木馬

劉桂澤告訴雷鋒網(wǎng)，對熱點事件的攀附其實并不是什么新的現(xiàn)象。對于挖空心思極盡所能攫取利益的木馬作者來說，捕捉時事熱點是他們的“基本功”。只要利用你的欲望或者恐懼，讓你成功地下載了木馬，第一步就大功告成了。

無論是雙11、雙12，或者是618，凡是全民關(guān)注的購物狂歡節(jié)活動，幾乎都會有各牛鬼蛇神前來“掘金”。這種活動不僅參與的人群眾多，而且在這樣的情況下用戶很容易放松警惕。

除此之外，例如高考、新年這種固定的社會事件，對于特定的用戶來說也是一年一度的“劫難”。當(dāng)然，時下的熱播劇——例如當(dāng)年的《甄嬛傳》和如今的《太陽的后裔》——同樣會成為陷阱。熱切地想要知道劇情發(fā)展的粉絲往往會迷失了雙眼，下載了一堆惡意軟件仍然執(zhí)迷不悔。

【下載了《太陽的后裔》之后，桌面上出現(xiàn)了奇怪的網(wǎng)頁快捷方式/圖片由哈勃平臺提供】

總之，只要參與某一件事的人數(shù)眾多，就少不了形形色色的木馬和他們背后殷紅的陷阱。

故事的開始總是相似的，無辜的童鞋由于各種原因下載了木馬。而接下來，他們會見證各種“兇殘”的事情發(fā)生在自己身上。

密鎖敲詐

如果你中了密鎖敲詐類的木馬，那么恭喜你，你幾乎觸摸到了“木馬界的皇冠”。在你毫不知情的情況下，自己電腦上所有的文檔和照片都被加密。而當(dāng)你意識到這一切發(fā)生的時候，將會看到突然彈出的警告框：你的文件已經(jīng)被我們鎖定，向我的賬戶轉(zhuǎn)賬1比特幣就可以解鎖文檔。（1比特幣大致相當(dāng)于3000人民幣，當(dāng)然不同種族和流派的木馬索要的贖金可能不同。）

【某中文密鎖木馬的勒索界面和勒索信】

這種密鎖類的木馬從2015年下半年開始“火了”，一開始我們監(jiān)測到一些德文的木馬，很快就有英文的版本出現(xiàn)了，而到春節(jié)的時候就出現(xiàn)了繁體中文版本，今年上半年又出現(xiàn)了簡體中文的密鎖敲詐木馬。你可以很清楚地感覺到這類木馬進(jìn)化的節(jié)奏。

劉桂澤說。

根據(jù)哈勃系統(tǒng)的統(tǒng)計數(shù)據(jù)，一款敲詐木馬爆發(fā)最高峰的時候，一天可以感染將近一萬臺次的電腦。雷鋒網(wǎng)曾經(jīng)對發(fā)生在我們身邊的一次密鎖敲詐木馬爆發(fā)做過詳細(xì)的報道，感興趣的童鞋可以《《《戳這里》》》。

詐騙木馬

由于用戶往往是在受騙狀態(tài)下下載的這類木馬，所以為了合理地潛伏在你的手機或電腦里，他們往往提供一些用戶所期待的“正常功能”——例如欣賞一下小電影什么的。

然而，這類木馬的最主要功能其實是盡可能詳細(xì)地收集你的個人信息。

以之前提到的“高考成績查詢 App”為例，用戶永遠(yuǎn)不可能成功安裝這個 App，因為提示用戶“安裝失敗”是陰謀的一部分。用戶以為安裝失敗，自然放松了警惕。事實上，這個木馬已經(jīng)盤踞在后臺，靜默地翻取你的通訊錄和短信，然后找到其中的“爸爸、媽媽、姐姐”等重要聯(lián)系人信息和帶有你的銀行卡號、家庭住址、生活習(xí)慣等信息的短信，一并傳回騙子掌握的服務(wù)器。

【高考成績查詢 App 的“安裝失敗”界面/圖片由哈勃平臺提供】

根據(jù)這些極度敏感的信息，騙子可以有針對性地對某個人發(fā)起詐騙。一個可以說得出你的家庭住址和生活愛好，并且認(rèn)識你至親的人，可以很容易博取你的信任，接下來騙子將要使出的招數(shù)就是我們熟悉的電信詐騙了。

廣告木馬

劉桂澤告訴雷鋒網(wǎng)，這種木馬是最近最為猖獗的一類，占到了木馬總量的 30% 到 40%，而且還處在逐月遞增的態(tài)勢中。

這類木馬已經(jīng)不從被感染者身上賺錢了，而是從廣告商那里賺推廣費。

這類羊毛出在豬身上的互聯(lián)網(wǎng)商業(yè)思維精髓已經(jīng)被黑色產(chǎn)業(yè)完整掌握了。這類木馬同樣肆虐在 PC 和手機兩大平臺，在手機上，它們一般偽裝成為用戶需要的軟件，但是在使用過程中，它們會偷偷地接受遠(yuǎn)程控制，為用戶靜默地安裝一大堆其他 App。

這些 App 很可能不是惡意的，而僅僅是有推廣需求的 App。他們希望通過種種渠道推廣自己，最終這樣的任務(wù)就有一部分落在了灰色產(chǎn)業(yè)的木馬身上。這種木馬推廣和地推在道理上是一樣的。

劉桂澤告訴雷鋒網(wǎng)，哈勃平臺不久前剛剛預(yù)警查殺了一個爆發(fā)的廣告木馬，他的小伙伴給這個木馬命名為“暗影鼠”。

“我覺得我們起的這個名字還是很形象的。暗影代表捉摸不定，老鼠又是見不得光的。這種木馬做的事情非常簡單，就是把你電腦所有瀏覽器的導(dǎo)航頁廣告渠道改成他的。用戶絲毫感覺不到導(dǎo)航界面有任何變化，通過導(dǎo)航訪問的網(wǎng)站也沒有任何變化。但其實背后的訪問渠道已經(jīng)發(fā)生了變更，這樣一來，網(wǎng)站的推廣費用就會流到木馬使用者的手里。

這個木馬在5月23日被系統(tǒng)捕捉，我們馬上研究并且下發(fā)了查殺規(guī)則，此刻全網(wǎng)的樣本數(shù)量只有十萬。由于規(guī)則下發(fā)到生效需要一定的時間，到第二天凌晨的時候全網(wǎng)的爆發(fā)量居然飆升到了40萬，直到電腦管家開始大規(guī)模掃描之后，“疫情”才得到了控制。

以上這三種木馬當(dāng)仁不讓地組成了這個月最為猖獗的 Top3。劉桂澤說，最近一年可以很明顯地看到黑產(chǎn)“離錢更近”了。以前的盜號木馬，在盜取了QQ號和密碼之后，如果QQ本身沒有攜帶Q幣等虛擬財產(chǎn)，那么就需要通過“撞號”之類的手段，例如嘗試用相同的賬號密碼登陸郵箱、淘寶、京東才能最終“撈”到錢。

現(xiàn)在看來，木馬的“老板”——這些黑帽黑客們還是覺得傳統(tǒng)的辦法準(zhǔn)確率不高，而且浪費時間，轉(zhuǎn)而探索了“有特色的新型發(fā)展道路”。

木馬也會兵法

查殺病毒木馬，其實是和他們背后的從事黑色產(chǎn)業(yè)的人較量。這是一場無休止的“持續(xù)對抗”。他們不斷翻新“犯罪技術(shù)”，我們也不斷破解他們的“作案手段”。

劉桂澤和團(tuán)隊發(fā)現(xiàn)，最近不同種族不同流派的木馬，“修煉”出兩個非常特別的“招式”。

隱身

讓自己的存活期更長，是木馬的追求。即使能在電腦、手機上多呆半天，甚至多呆半個小時，就可以多盜取一些用戶信息，多推廣一點自己的“小伙伴”。也可以和殺毒軟件博弈的時間更長，不用馬上投入精力研究新的變種來對抗圍剿自己的殺毒軟件。

由于哈勃系統(tǒng)主要采用機器規(guī)則的方法來自動判斷病毒木馬，所以每天有大量的文件樣本會經(jīng)過哈勃的篩查。然而，哈勃團(tuán)隊發(fā)現(xiàn)了一個有意思的現(xiàn)象。那就是：有那么一些程序，在虛擬運行環(huán)境下沒有任何功能，也不做任何動作。

拜托你是個軟件，你被安裝運行之后什么也不做究竟是為什么？你哪怕訪問一個網(wǎng)頁呢。。。

研究員的內(nèi)心是崩潰的，難道真的有人會無聊到寫一個什么都不做的程序嗎？敏銳的嗅覺告訴他們，這其中一定有“貓膩”。

果然，經(jīng)過仔細(xì)研究他們發(fā)現(xiàn)，這類木馬在被運行之后，首先要做的動作就是“沉默”。

“沉默的時間從幾分鐘到幾十分鐘不等，最長的一個木馬竟然沉默一個小時。”劉桂澤說，“為了提高效率，檢測平臺不會對同一個文件檢測60分鐘，默認(rèn)設(shè)置一般都是秒級。而如果換做傳統(tǒng)的人工審計代碼方式，又至少需要十幾分鐘到幾十分鐘。而且現(xiàn)在的木馬代碼一般都經(jīng)過了重度混淆加密，甚至可以做到一邊執(zhí)行一邊解密，所以人工審計的方式效率也非常低。”

不過，對付這種難纏的木馬，研究員想出了一套簡單的規(guī)則。那就是讓哈勃系統(tǒng)在檢測的時候，一旦遇到可以的“沉默程序”，就主動跳過沉默的代碼段，直接執(zhí)行真正的命令操作。

當(dāng)然，隱身的招數(shù)并不只有“沉默”這一種。還有一種傳統(tǒng)的隱身方式：像寄生蟲一樣把自己隱藏到文檔里，最近又開始“重現(xiàn)江湖”。這就是宏病毒。

安全的博弈過程就是這樣，“黑道”想到了一個辦法，安全廠商就會不斷封堵；如此循環(huán)下去，“黑道”可能突然發(fā)現(xiàn)最開始的方法又有用了。當(dāng)然不是簡單的重復(fù)這種方法，而是疊加了更新技術(shù)的“升級版”

由于 Office 的文檔有時需要顯示動畫效果或進(jìn)行動態(tài)數(shù)據(jù)統(tǒng)計，所以其實 Word 或 PPT 之類的文檔實際上允許可執(zhí)行代碼存在于其中。但是，由于過去飽受宏病毒困擾，微軟在新版本的 Office 中會默認(rèn)禁止宏運行。然而，無底線無操守的黑帽黑客把釣魚郵件和隱私竊取都疊加到了一起。他們的做法是：

搞清楚你的職業(yè)和個人信息。然后有針對性地給你發(fā)一封足以以假亂真的工作郵件——例如報銷發(fā)票信息、行業(yè)協(xié)會通知、客戶訂單——讓你沒有不打開附件的理由。而在郵件中，“客戶”還會“溫馨提示”你，我的附件里面有報價，當(dāng) Excel 提示你是否需要開啟宏的時候，一定要點同意哦親~~

雷鋒網(wǎng)表示人間最可寶貴的信任似乎被撕裂了。。。

云控

就像自動巡航、停車熄火、倒車?yán)走_(dá)逐漸成為汽車的標(biāo)配一樣，“云控”也開始成為木馬的標(biāo)配了。作為一個木馬，如果不能實現(xiàn)云端控制，出門都不好意思和人打招呼。

劉桂澤說，“靈活快速”是云控的最大優(yōu)點，它可以讓木馬和黑客的服務(wù)器保持實時的聯(lián)系，根據(jù)具體情況作出最精確的反應(yīng)：如果發(fā)現(xiàn)你的機器安裝的是 Windows XP，會馬上下發(fā)一套針對 XP 的“作戰(zhàn)策略”；如果是 Windows 7，那么就會下發(fā)一套“Win7 作戰(zhàn)計劃”；如果是手機，也可以搞定。

而且，通過云控，黑客甚至可以控制木馬的生命周期。例如在受害者的電腦上存在一天之后，這個木馬就會被強制升級成最新的 2.0 版本。

木馬家族的更新速度超出一般人的想象，最快的10分鐘就會更新一版。所謂的更新，就是代碼結(jié)構(gòu)、加密格式、侵害動作的序列都會發(fā)生調(diào)整。要想實現(xiàn)這么快的更新速度，黑客有可能一次做了很多木馬，然后按照節(jié)奏釋放出來，還有可能研究了一整套自動化的工具對木馬做代碼變換。

神魔斗法

對于這種琢磨不定的木馬形態(tài)，安全專家只能抓住木馬最根本的特征——“行為”進(jìn)行尋找。為了第一時間檢測出最新的木馬，檢測系統(tǒng)只得晝夜不眠，7*24小時運轉(zhuǎn)。

對劉桂澤和哈勃團(tuán)隊來說，他們的任務(wù)并不是手動判斷一個程序到底是不是木馬，而是用自己的經(jīng)驗和理解創(chuàng)造出一條條識別木馬的規(guī)則，然后讓哈勃系統(tǒng)學(xué)會這套規(guī)則。不斷累加的規(guī)則可以讓系統(tǒng)對于木馬的判斷的準(zhǔn)確度不斷接近這些安全專家。

劉桂澤舉了幾個簡單的判定規(guī)則：

1、如果一個軟件上來就給電腦來個全盤掃描，而且對這么大批的文件不僅讀，竟然還寫，這就是很明顯的密鎖敲詐木馬的行為。因為正常的軟件幾乎是沒有必要進(jìn)行全盤掃描的。

2、一個軟件運行之后就聯(lián)網(wǎng)，這個動作本來無可厚非，但如果他每次聯(lián)網(wǎng)去請求的都是一些控制信息，而且這些控制信息還和軟件本身無關(guān)，那么這就是很可疑的推廣木馬。例如QQ在后臺聯(lián)網(wǎng)，一定是下載和自己有關(guān)的信息，例如更新包。但是推廣木馬請求的一般是一大串軟件列表加上下載地址，這種特征是很明顯的。

3、從移動端來說，正常的 App 運行之后，一旦用戶點擊 Home 鍵，它就應(yīng)該進(jìn)入沉默狀態(tài)，最多就是偷偷聯(lián)網(wǎng)上報一下用戶數(shù)據(jù)做統(tǒng)計之用。如果一個 App在后臺有大量頻繁的操作，例如讀取隱私信息和通訊錄，甚至向系統(tǒng)申請短信監(jiān)聽的權(quán)限（這種權(quán)限一般用在“注冊碼自動填寫”等提升用戶體驗的功能上）。那么這個 App 的行跡就很可疑。

4、之前提到的“暗影鼠”木馬，在安裝之后會馬上掃描用戶都安裝了哪些瀏覽器，同時掃描用戶都安裝了哪些殺毒軟件。這種行為也是非?？梢傻?。

聽上去這種規(guī)則涇渭分明，黑白立判。但是劉桂澤說訓(xùn)練機器的最大難度在于“度的把握”。

機器的特點是“一是一、二是二”，而人最大的特點是“一不是一，二不是二”。例如某件事，張三找我?guī)兔ξ腋?，李四找我?guī)兔ξ揖筒桓?。例如某用戶量很大的程序深受用戶喜愛，但是它會對用戶的注冊表進(jìn)行修改，這種情況我們沒辦法不放行；而一些小的軟件修改用戶的注冊表，我們就可能會認(rèn)定它是木馬程序。

劉桂澤面對的困難，也正是機器和人之間的能力鴻溝。不過，經(jīng)過海量的樣本進(jìn)行大量的訓(xùn)練，哈勃系統(tǒng)還是在朝著更聰明和更“像人”的方向演進(jìn)。這一點讓劉桂澤很欣慰。

哈勃系統(tǒng)每天要測試幾千萬的樣本文件，但是到最后還是有不到一千個高度模糊的文件留給我們的研究員。當(dāng)然我們的目的不是把這一千個文件歸類。而是通過研究這些文件的特點，研究出新的規(guī)則，讓更新之后的系統(tǒng)可以有效判斷這些文件?，F(xiàn)在每天會產(chǎn)生千八百個模糊文件，也許到了明年的這個時候，每天就只有十個八個模糊文件產(chǎn)生了。

實際上，對于哈勃來說，研究員對于規(guī)則的改進(jìn)還是相當(dāng)有成效的。過去團(tuán)隊有五個規(guī)則開發(fā)專家，十個樣本分析專家；而到了現(xiàn)在只有兩個樣本分析專家，其余的專家全部投身規(guī)則的研究制定。

只要存在獲利的空間和善良的人們，惡意的木馬似乎就永遠(yuǎn)沒有消失的可能。在劉桂澤的眼中，往往他們對一個木馬家族剛剛搞清楚，另外的木馬就爆發(fā)了。安全專家和木馬作者已經(jīng)成為了這場永無止境戰(zhàn)爭的兩支常駐軍。

既然無法根除人性當(dāng)中的惡念，那么我們不如期待在這樣的神魔斗法中，出現(xiàn)更多精彩的戰(zhàn)役。

延伸閱讀：

《在網(wǎng)上給綁匪交贖金是一種怎樣的體驗？》

《在敲詐之前，黑客們都是如何給勒索軟件加密的？》

《黑客勒索！一個能說出你名字、電話和職位的“熟人”，可能會鎖住你的電腦》

更多的技術(shù)內(nèi)容可參考《騰訊反病毒實驗室哈勃分析系統(tǒng)，四月威脅情報態(tài)勢報告》

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。