大家好！我是DCM，出生于2011年。大家為了方便稱呼我，就給我取了一個(gè)小名“黑暗幽靈”。在沒(méi)有被電腦管家發(fā)現(xiàn)之前，我可以通過(guò)網(wǎng)線或者WIFI，進(jìn)入我想要進(jìn)入的任何地方。但是隨著被電腦管家發(fā)現(xiàn)，被大家所認(rèn)識(shí)！今天，我們就仔細(xì)地給大家介紹一下我自己，方便大家更好地認(rèn)識(shí)我！

我之所以可以混跡信息界這么多年而直到現(xiàn)在才被發(fā)現(xiàn)，原因是我具有以下幾種強(qiáng)大的特性：

1）對(duì)抗性強(qiáng)，能夠繞過(guò)幾乎全部的安全軟件主動(dòng)防御，重點(diǎn)對(duì)抗國(guó)內(nèi)安全軟件，能夠調(diào)用安全軟件自身的接口將木馬加入白名單，作者投入了大量的精力逆向研究安全軟件。

2）感染方式特別，通過(guò)網(wǎng)絡(luò)劫持進(jìn)行感染，主要劫持主流軟件的自動(dòng)更新程序，當(dāng)這些軟件聯(lián)網(wǎng)下載更新程序時(shí)在網(wǎng)絡(luò)上用木馬替換，導(dǎo)致用戶無(wú)感中毒。

3）功能強(qiáng)大，主要以信息情報(bào)收集為主，能夠監(jiān)控監(jiān)聽(tīng)大量的聊天軟件，收集網(wǎng)絡(luò)訪問(wèn)記錄、監(jiān)控Gmail、截取屏幕、監(jiān)控麥克風(fēng)和攝像頭等。

4）攻擊范圍較小，針對(duì)性強(qiáng)，且持續(xù)時(shí)間長(zhǎng)達(dá)數(shù)年，符合APT攻擊的特性。

5）通訊方式特別，木馬將數(shù)據(jù)封裝成固定包頭的DNS協(xié)議包，發(fā)送到大型網(wǎng)站來(lái)實(shí)現(xiàn)數(shù)據(jù)傳輸，此方法可以繞過(guò)幾乎全部的防火墻，但是黑客要截取這些數(shù)據(jù)，必須在數(shù)據(jù)包的必經(jīng)之路上進(jìn)行嗅探攔截，結(jié)合木馬的感染方式，可以推測(cè)出在受害者網(wǎng)絡(luò)鏈路上存在劫持。

如果你們僅僅以為我是通過(guò)這些特性才可以長(zhǎng)久的不被發(fā)現(xiàn)的話，就大錯(cuò)特錯(cuò)了！我之所以這樣強(qiáng)大，就得詳細(xì)的介紹我的另外一個(gè)特點(diǎn)，就是特別的感染方式！

我本身是不會(huì)主動(dòng)傳播的，我的設(shè)計(jì)者設(shè)計(jì)的就是潛伏并回傳數(shù)據(jù)。我的傳播是依賴另外幾套系統(tǒng)來(lái)實(shí)現(xiàn)的（以下統(tǒng)稱傳播系統(tǒng)），而且這些傳播方式也并不局限與傳播 DCM 木馬。此外，我僅用于特定目標(biāo)人群的”定點(diǎn)打擊“，并不會(huì)大量傳播。

• 正規(guī)軟件的自動(dòng)更新

通過(guò)替換正常軟件的自動(dòng)更新網(wǎng)絡(luò)數(shù)據(jù)，使這些軟件下載我并執(zhí)行。很多正規(guī)軟件都直接運(yùn)行在管理員模式下，還幫我省去了提權(quán)的麻煩。

• 下載可執(zhí)行文件捆綁

被列入”定點(diǎn)打擊“的電腦如果下載了不超過(guò)一個(gè)預(yù)設(shè)大小的 EXE 文件，則傳播系統(tǒng)會(huì)將木馬捆綁在這些正常的 EXE 文件上，而且并不會(huì)破壞原有可執(zhí)行文件。用戶一旦運(yùn)行了下載的 EXE 文件就會(huì)被感染。

• 壓縮文件感染

被列入”定點(diǎn)打擊“的電腦如果下載了一個(gè)符合某些條件的壓縮文件，則傳播系統(tǒng)會(huì)根據(jù)配置將木馬插入壓縮文件中，替換掉壓縮文件中的可執(zhí)行文件，或者替換掉整個(gè)壓縮文件，從而實(shí)現(xiàn)感染目標(biāo)主機(jī)的目的。

• 瀏覽器劫持感染

這個(gè)感染方式比較極端，只有少量情況下會(huì)使用。當(dāng)該感染方式啟動(dòng)時(shí)，用戶電腦無(wú)法正常瀏覽部分甚至全部網(wǎng)站，瀏覽器會(huì)被重定向到一個(gè)釣魚(yú)頁(yè)面，要求用戶安裝”瀏覽器插件”或者“必要更新”一類的內(nèi)容，從而誘導(dǎo)甚至強(qiáng)迫用戶安裝木馬。

看了以上我的介紹，有沒(méi)有感覺(jué)我很強(qiáng)大！但是很可惜，還是被人類發(fā)現(xiàn)了我的存在，不過(guò)我并不氣餒，我的主人在我被發(fā)現(xiàn)后，應(yīng)該還會(huì)有更多的我的家族的同胞被釋放出來(lái)，只要人類通過(guò)這些渠道，我們?nèi)耘f可以正常占領(lǐng)他們的電腦的呢！

ice

收藏 海報(bào)分享