http://www.freebuf.com/articles/system/101447.html

http://www.freebuf.com/author/dcm_team_member?comment=1

首先这个木马极有可能在ISP端进行DNS污染和劫持
比如你点了某软件更新
本来是链接XXX.YYY.COM/update/123
DNS劫持后直接给你连到了木马网站下了注入木马的更新包然后自动开始安装
安装完毕以后自动绕过几乎所有安全软件，并取得最高权限
然后最神奇的是
他把数据打包发送到百度、新浪、网易
这导致他的木马行为极为隐蔽

黑客要得到这些数据
他需要在你接入百度、新浪、网易的数据包的必经之路上进行嗅探拦截
这个必经之路是什么
我觉得可能是ISP的路由端
而且感染人数很多的话需要大量计算机集群进行关键词分析


以上是我这个计算机菜鸟的一点粗浅理解
感觉这个木马真的好牛逼……

23333，就差明说是收集搜索记录以备用作呈堂证供了。

这个木马确实有很多很不错的想法...

国家队木马

自杀小队真实版

海外国家队

chijianpan 2016-04-13回复 18楼
大家好，我是腾讯管家负责人，从我的观点来看，这个报告写的还是很不错的，有理有条，各个部分分析的都很到位，至于木马是怎么被放置到网关上的这个问题，我觉得应讠

英格力士杰 (1级) 安全圈的路人甲 2016-04-14回复
@ chijianpan 应该什么？？？？？

Xjun (1级) 2016-04-14回复
@ 英格力士杰 被打死了 哈哈

想法是不错，然而，伪造软件的签名证书验证么？

如果真是国家队用得着这么麻烦么？直接开个镜像端口就完了。

估计是国外的高手。

这木马肯定不是个人作品，小点的店也做不出来，数据包会在中途被截获，谁能截获，我觉得瞎子都能看出来是谁干的了

我前几天突然电脑未经许可下载了瑞星卡巴斯基和一个什么 XX广告软件和 UC浏览器和网易的一个什么软件
都是直接下载安装好了 桌面上跳出来了。 没有任何提示。
我赶紧断网杀毒结果 也没查出来什么 就把这些软件全部删除了。 会不会有问题

瑞星太流氓了，重装系统吧

cih当年那么牛逼不也是个人作品 当年最早实用windows木马的Back Orifice再到后来的灰鸽子、广外女生不都是个人作品