以“瘦男孩”为视角 为大家解析何为木马病毒！

对于木马病毒，相信大家一定都不陌生。但是谈及何为“木马病毒”？木马病毒的特点是什么？它又是如何运作的？谈及这些问题，因为会有很多人不清楚！接下来我们以风极一时的“瘦男孩“为视角，为大家揭开木马病毒的神秘面纱！

一、木马病毒工作原理及运作机制：

网购木马“瘦男孩”(Lanker-Boy)的工作原理是通过篡改支付订单数据，以达到劫持受害网友交易资金的目的。该木马家族最早出现在2014年9月，360QVM组追踪分析Lanker-Boy传播路径估算，国内已有约百万台电脑受到该木马家族的威胁，一些游戏外挂网站和兼职刷单聊天群是Lanker-Boy木马传播的主要阵地。

网购木马最早在2010年前后出现，与早期的网购木马相比，Lanker-Boy具有更高明的免杀手段，其解密运行恶意代码的机制使传统特征码杀毒引擎不能很好应对，而且该木马作者以Lanker-Boy的账号在各大杀毒软件论坛“主动反馈误报”，通过社工欺骗手段蒙混过关，木马也因此具有更强的传播力和更多的存活空间。具体传播途径看下图，大家就可明了！

二、木马特点

1)主动上报

传统情况下，木马作者会躲避和杀毒软件的接触，从而避免木马被查杀。而“Lanker-Boy”的木马作者在编写完木马后，第一时间将木马上传给杀毒厂商，伪装“游戏大厅”的程序被误报，要求杀毒厂商删除病毒特征。而国内某些厂商收到木马后，不但没能及时发现，反而去除了原本可以查杀的特征。

根据VirusTotal扫描显示，截止2015年4月7日，全球安全厂商中仅有360可以查杀“Lanker-Boy”的重要组件Lanker.dll。

2)隐蔽性强

一旦木马作者成功骗过杀毒软件，使其删除特征，后面的恶意行为操作就无法被查杀。

打开木马压缩包可看到3个文件：

设置显示隐藏文件与后缀名后：

木马主程序为“123 .exe”，其图标类似普通记事本图标，目的是诱导用户点击。点击后会加载同目录下的非PE文件，并解密执行。由于主程序并不涵盖实际恶意代码，其它文件又为无实际意义的非PE文件，致使传统的特征引擎并不能很好得查杀。

3)传播性强

由于有了前两个前提条件，再加上普通用户又很容易被其图标所迷惑，该木马就可以在短时间内大量的传播，据360QVM组统计，国内目前已有约百万用户受到该木马的威胁。

三、木马详细分析

加载过程：

判断文件名是否包含空格，如不包含则执行正常程序，包含则执行恶意代码。目的是躲过一些杀毒厂商不严格的审核机制。

文件名中不包含空格时：运行该病毒时，会弹出一个伪装成游戏大厅自动更新的程序。

通过小编的介绍，大家是否对木马病毒