能偷窥能自爆能赚钱——知名病毒木马大盘点，你认识几个？

木马病毒与安全软件的战争，一直是 络安全领域的主旋律。面对着层出不穷的木马病毒，安全厂商们也在绞尽脑汁全力应对。但尽管如此，每一年仍旧会有一些超强的病毒木马迎来爆发，令广大 民束手无策。

那么在往年的杀毒战斗中，究竟是魔高一尺，还是道高一丈呢?

2.“大灰狼”远控木马——被抛弃的XP用户惨变“小白兔”

9月初360安全团队披露bt天堂 站挂马事件，该 站被利用IE神洞CVE-2014-6332挂马，如果用户没有打补丁或开启安全软件防护，电脑会自动下载执行大灰狼远控木马程序。

大灰狼远控木马由于长期的被杀毒软件追杀，所以大量的使用动态调用系统api，来躲避查杀，所有的文件相关操作都采用了动态调用的方式，并且几乎所有的样本都需要动态的解码才能获取到相关的函数调用。

3.“restartokwecha”——Hacking Team数据泄露的后遗症

2015年11月，一款名为“restartokwecha“的下载者木马拦截量暴增，经过溯源，木马来自PConline(太平洋电脑 )，1ting(一听音乐 )，stockstar(证劵之星)等一批知名 站。通过对这些 站的分析，技术人员发现： 站广告位展示的广告中包含了Hacking Team泄露的Flash漏洞中的一个漏洞利用挂马(CVE-2015-5122)。而该下载者木马，除了在用户计算机上安装多个恶意程序外，还会推广安装多款知名软件。由于国内大量电脑仍然没有及时升级Flash插件，造成木马可以大规模传播。

该漏洞挂马利用Flash漏洞，将带有恶意代码的flash文件通过广告投放的方式嵌入各大 站，进行大范围传播。当前木马传播量已逾百万，大量国内知名厂商平台成为其幕后推手。

4.Duqu2.0——击穿卡巴斯基的可怕病毒

知名安全公司卡巴斯基(Kaspersky)在今年6月发表声明承认，在今年的早些时候的安检中，一款新的原型反APT系统发现公司内部系统被非常高明的攻击入侵了，多项证据证明，其幕后黑手就是2011年名噪一时的Duqu，因此卡巴斯基将此次攻击命名为Duqu2.0。

Duqu2.0执行恶意代码的方式非常巧妙，它使用Windows Installer的MSI安装包加载恶意代码所需的资源并解密，再将执行权限交给内存中的代码，这样反病毒产品也很容易被骗过。此外，恶意代码只驻留在被感染机器的内存里，硬盘里不留痕迹，某台机器重启时恶意代码会被短暂清洗，但只要它还会连上内部 络，恶意代码就会从另一台感染机器传过来。这一手法是前所未见的。

5.XcodeGhost——史无前例的苹果危机

国内专业IOS研究团队“涅槃”在事件爆发后发表的声明称：“通过对14万5千多个app的扫描，共发现344款app感染XcodeGhost木马，其中不乏有百度音乐，微信，高德，滴滴，花椒，58同城， 易云音乐，12306，同花顺，南方航空，工行融e联，重庆银行用户量很广的app，涉及互联 、金融、铁路航空、游戏等领域。”

6.暗云&黑狐木马——流氓软件携手锁主页木马

暗云木马与黑狐木马，是2015年感染量较大、版本众多的两支木马家族。二者的共同之处在于，全部通过流氓推广软件传播，利用数字签名、注入系统进程、加载底层驱动等手段绕过安全软件监控。

该木马通过修改浏览器首页，赚取厂商支付的佣金;并且木马支持远程控制，控制者可以随时下发盗 插件、监控插件、窃密插件等程序，会给用户带来极大的隐私、财产损失。

7.刷流量木马——为赚取佣金无所不用其极

除了棋牌游戏，部分游戏平台也被人动了手脚。今年9月，某安全厂商发表技术博客称，VS竞技游戏平台涉嫌使用刷流量木马。该木马将恶意代码混入正常程序中，暗中访问各种广告页面赚取佣金，耗费用户流量和带宽资源，同时增加用户的安全风险。虽说VS昔日辉煌不再，但仍不乏死忠用户。如此消费用户信赖，略显不妥。

8.Rombertik——不仅可监控，而且可自爆

Rombertik初入国内时曾引起了不小的轰动，这不仅因为它能够窃取数据和对抗分析，还因为它在会自爆、毁掉电脑全部程序——虽然事后发现这只是媒体的误读，Rombertik并不会摧毁电脑，但该病毒仍引起了 友们不小的恐慌。

据悉，Rombertik是标准的远控木马，能够远程控制用户机器;并且该木马病毒会在 友没有感知的情况下，监听键盘，窃取在Chrome、Firefox和IE浏览器上输入的所有文本信息，其中自然也少不了银行卡的账 密码。

9. 购木马—— 购有风险，剁手需谨慎

电商兴起之后， 购木马已是屡见不鲜;此次被捕获的，是一款“木马下载器”。在下载完成后，木马将自动运行，并劫持用户浏览器、伪造购物页面、将用户的交易劫持到自己的账户中骗取用户钱财。

值得一提的是，伪造{支付宝}界面中的用户名十分嘲讽——“SB你猜”。但即便有这样的“穿帮”，仍不乏上当者。人说购物过程中的人智商为0，看来这句话也并不是完全没有道理。

10.Chind木马——针对国内用户的DoS攻击

所谓DDoS木马，就是从中招用户机器对特定服务器发起DoS攻击，耗费用户带宽和流量资源，同时兼具一定的远控功能。此次的Chind木马以国内用户为主要目标之一，木马会使用upx压缩壳减小体积并创建互斥量，保证只有一个木马在运行;之后根据当前进程具有的系统权限，选择路径进行自我复制;最终通过UDP或TCP创建连接，实现DDOS攻击。

比较搞笑的是，该木马准备攻击前，会先检测用户是否使用360，如果检测到使用，就会停止攻击。

而且值得肯定的是，随着杀毒技术的不断提高，以及免费杀毒软件的普及，当前 络环境以远胜当年。曾经如熊猫烧香、千年虫等动辄威胁全国乃至全球的病毒木马，早已不存在;几乎任何病毒出现之后，安全厂商都会找到最好的方法防止其进一步扩散。