對於很多電腦數碼用戶來說，一定對羅技品牌並不陌生。由於優質的使用體驗與頂尖的品牌力，羅技產品一直受到眾多粉絲的極力追捧。正是由於對產品的高度信任，用戶自然不會懷疑其將成為傳播木馬病毒的載體，而這種心理恰恰為黑客們提供了可以大肆進行網絡攻擊的機會。

近日，360安全大腦監測到黑客團伙利用知名IT公司羅技軟件中一個老版本模塊的漏洞，在大量傳播遠控木馬，作者通過精心構造了一個包含惡意代碼的配置文件並加以包裝和誘導，令受害目標防不勝防。當用戶不幸中招後，黑客團伙可利用該漏洞，輕鬆實現對目標用戶的電腦進行遠程操控，不僅可以隨時竊取用戶個人隱私、機密文件等重要信息，更對用戶財產安全構成巨大威脅。

目前，360安全大腦已全面攔截該木馬攻擊，建議廣大用戶可盡快下載安裝360安全衛士，可有效攔截各類病毒木馬攻擊，保護個人數據及財產安全。

作惡木馬花樣喬裝

惡意代碼深藏不露

經360安全大腦深度分析，在本輪遠控木馬病毒的傳播中，黑客團伙將完整的漏洞利用套件打包成一個具有誘惑性名稱的壓縮包文檔（如“客戶資料.rar”），然後通過QQ和微信等IM工具分發給不同的目標人群。用戶在接收打開後會發現，羅技的軟件模塊早已被包裝成各種名稱的誘惑文件。一旦開啟，其將執行惡意代碼，從而協助該團伙進行遠程控制。

部分偽裝的誘導名稱

本次漏洞所利用的套件主要包含以下4個文件，其中，“身份證正面.com”為羅技（”Logitech”）的官方程序LGT2.exe。正是由於該程序內部代碼存在漏洞，才導致被黑客惡意利用來進行遠程代碼執行。

在漏洞程序LGT2.exe啟動後，會讀取同目錄下的配置文件ereg.ini，由於程序代碼處理配置數據過程中存在一個經典的“緩衝區溢出漏洞”，所以黑客便在該配置文件中構造了一個超長字符串來進行漏洞利用。

經分析，該漏洞存在的原因也比較典型，開發者沒有嚴格對待數據臨時緩衝區的長度，如下所示，規定存放配置數據的緩衝區buf數組的長度為520（十六進制為0x208），然而在實際使用時並沒有保持一致，拷貝的目標數據最大長度反而增大到0x3ff，導致發生越界拷貝的情況。

黑客利用此漏洞時，構造超長配置數據覆蓋安裝在堆棧上的SHE異常處理鏈，從而劫持該漏洞程序跳轉執行shellcode。

由於上述緩衝區大小有限，所以在成功執行shellcode後，黑客先讀取文件“X”，該文件存放下一階段使用的shellcode。

接著由“X”文件中的shellcode2來讀取最後一個文件“A”，加載運行包含在其中的遠程控製程序。咋一看，“A”文件好像是一個正常的騰訊官方程序，因為其具有騰訊的官方簽名。不過仔細分析後會發現這只不過是黑客使用的一個障眼法，真正的惡意代碼被加密存放在該騰訊程序的數字簽名後面，試圖借助騰訊簽名作為躲避安全軟件查殺的保護傘。

將附加在數字簽名後面的加密數據進行簡單的異或解密（解密key為0xAC），即可在內存中看到惡意的遠程控制模塊，隨即該模塊被shellcode2進一步加載執行，從而達到遠程控制目標用戶電腦的目的。

木馬“毒性”非比尋常

黑客作者作繭自縛

值得一提的是，該黑客團伙此次除了將目標鎖定為各行各業的普通用戶人群，竟還把毒爪延伸到同行業的老手。令人感到尷尬的是，由於此次遠控木馬的“毒性”非比尋常，甚至連木馬作者本人也不幸中毒，最後只能偽裝成某公司員工公然尋求幫助。

由此不難看出，本輪利用羅技軟件老版本模塊的漏洞傳播的木馬遠控病毒威力不容小覷。不過廣大用戶無需擔心，360安全大腦通過多種技術手段可實現發現和防禦最新木馬病毒，目前已實現對該類木馬的全面查殺。

另外，根據360安全大腦監測到的數據來看，近期類似的釣魚欺詐攻擊頻現，廣大用戶應當格外警惕，對於收到的文件和信息一定要反复確認來源是否可信再行處理。360安全大腦特別建議：

1、盡快前往weishi.360.cn，下載安裝360安全衛士，有效攔截各類病毒木馬病毒攻擊，保護電腦隱私及財產安全；

2、注重企業人員的安全操作培養，提升人員的安全意識，不要輕易打開來路不明的郵件附件和鏈接以及文檔，打開文檔前切記要仔細檢查文檔來源和文件格式；

3、建立內網安全策略，防止攻擊發生時危害的進一步擴大。

IOC