Torchwood遠控木馬卷土重來“說好不哭”，360安全大腦上演全面“封殺”！

近期，360安全大腦監(jiān)測到大量遠控木馬的傳播，經(jīng)過深度分析，發(fā)現(xiàn)該木馬是“Torchwood”遠控木馬的新變種。曾經(jīng)該木馬通過下載網(wǎng)站、釣魚郵件和QQ群等方式傳播，都已被360安全大腦全面查殺，而最近的更新則有卷土重來的跡象。

這一次該木馬再度延用“CHM釣魚攻擊”的傳播方式，并配合極具迷惑性的標題，誘導用戶打開木馬文件，使其在不知不覺中遭受攻擊。廣大用戶不必過分擔心，目前360安全大腦已全面攔截該木馬的攻擊，建議用戶及時下載安裝360安全衛(wèi)士保護電腦隱私及數(shù)據(jù)安全。

CHM文件“魚目混珠”潛入系統(tǒng)

  “白加黑”作案手法屢試不爽

什么是CHM文件呢?大家不要覺得CHM文件很“冷門”，它是經(jīng)過壓縮的各類資源的集合，日常中支持圖片、音頻、視頻、Flash、腳本等內(nèi)容，因為方便好用、形式多樣，也可算是文件格式界里的“經(jīng)濟適用款”，越來越多的電子書、說明文檔都采用了CHM格式。在大多數(shù)人的印象中，CHM類型文件是“無公害”文檔文件，但只要加以利用便可以“魚目混珠”潛入系統(tǒng)躲過殺軟，并發(fā)起隱秘攻擊。事實上，360安全大腦監(jiān)測到的多起攻擊事件中，都可以看到 CHM 文件的影子，這類手法也被業(yè)界形象地稱為“白加黑”攻擊。

歷史手法，又在重演。本輪攻擊中，360安全大腦發(fā)現(xiàn)木馬作者再次利用了CHM文件，再配上能夠引起用戶興趣的敏感標題，然后通過下載網(wǎng)站、釣魚郵件和QQ群等渠道傳播，最終誘導用戶打開木馬文件，達到控制用戶電腦，盜取帳號密碼及重要資料等目的。

(與“錢財”等有關的誘惑性標題)

360安全大腦對該CHM文件進一步溯源分析，發(fā)現(xiàn)Torchwood遠控木馬的攻擊核心是加入了具有云控功能的HTML腳本。當用戶運行虛假的CHM文件后，“精心喬裝”的虛假網(wǎng)頁訪問404圖片便會自動彈出，與此同時，潛伏在系統(tǒng)后臺已久的攻擊程序也同時悄然運行。

360安全大腦對該混淆代碼分析，發(fā)現(xiàn)其攻擊流程如下：

1、利用certutil.exe 下載一張網(wǎng)站訪問404的截圖run.jpg，用來欺騙用戶。

2、利用certutil.exe 下載壓縮后的攻擊模塊temp1.jpg。

3、利用certutil.exe 下載解壓用的WinRar工具helloworld.jpg。

4、運行WinRar工具，用來解壓攻擊模塊，密碼為“Tatoo”。

5、用戶實際運行的效果，前端利用欺騙性圖片迷惑用戶，背后則偷偷運行攻擊程序。

整個過程大致如下，完成下載和解壓工作后，木馬就會進入攻擊流程。

具體的攻擊代碼流程如下：

1、首先木馬作者會啟動Perflog.exe文件，該文件是羅技的鍵鼠管理程序，屬于被白利用的正常程序。

2、Perflog.exe會加載黑模塊logidpp.dll，這是木馬作者經(jīng)常使用的“白加黑“手法。

3、logidpp.dll是一個PELoader程序，它的任務是在內(nèi)存中解密bugrpt.log文件，并在內(nèi)存中加載運行此惡意模塊。

4、調(diào)用惡意模塊的導出函數(shù)“Torchwood“，執(zhí)行遠控代碼流程。

值得一提的是，此類木馬是一個具有下載和內(nèi)存執(zhí)行功能的程序，并且可以通過云控的方式運行任意代碼。這里，我們主要分析的是其傳播遠控程序?qū)κ芎δ繕诉M行攻擊的過程，可以看到該木馬還包含一系列自我保護的功能，以達到長久駐留的目的。

(添加注冊表，長期駐留)

(遠控功能)

(內(nèi)置的安全軟件檢測列表)

Torchwood 遠控木馬前有針對殺毒軟件的檢測躲避大招加持，后有任意代碼執(zhí)行的遠控攻擊技能傍身，本輪攻擊可謂來勢洶洶，但360安全大腦通過多種技術(shù)手段防御和發(fā)現(xiàn)最新木馬病毒，且已率先實現(xiàn)對該類木馬的查殺，為避免此類攻擊的感染態(tài)勢進一步擴大， 360安全大腦建議：

1、建議廣大用戶前往weishi.#，及時下載安裝360安全衛(wèi)士，能有效攔截該木馬的攻擊，保護個人信息及財產(chǎn)安全;

2、使用360軟件管家下載軟件。360軟件管家收錄萬款正版綠色軟件，經(jīng)過360安全大腦白名單檢測，下載、安裝、升級，更安全;

3、不要隨意下載、接收和運行不明來源的文件，以防中招。

附錄IOC