近日，360云安全系统发现一款名为“诡娃”的远控木马，正通过钓鱼软件、网页挂马等多渠道扩散。“诡娃”除了能进行操控中招电脑等行为外，还会通过控制指令让中招机器弹出惊悚的鬼怪flash动画，再加上动画里突如其来的尖叫声，骇人程度不输恐怖大片！

经分析，”诡娃”是基于Njrat 0.7 修改。(Njrat,又称Bladabindi，该木马家族使用C#编写，是一个典型的RAT类程序，通过控制端可以操作受控端的文件、进程、服务、注册表内容、键盘记录等，也可以盗取受控端的浏览器里保存的密码信息等内容。此外，还具有远程屏幕抓取，木马客户端升级等功能。Njrat采用了插件机制，通过使用不同的插件来扩展新的木马功能。)

被控端木马程序的总体代码结构如下图所示：

图1

创建互斥体，保证只运行进程的一个实例，在这里互斥体名称为：Windows Update

图2

图3 

木马的Main函数入口调用了Ok类的ko方法，该方法中首先对连接远端的地址及端口进行特殊字符替换，再Base64解码后得到连接的地址及端口。

特殊字符替换相关代码：

图4

连接远程地址端口：

图5

图6

图7

进行特殊字符替换后再Base64解码最终得到通信地址为：212.115.232.229:5552, 最终njRat会与该地址进行通信执行控制端发送的各种指令。

图8

通过其代码可以看出其具备执行入侵者的指令对中木马机器进行以下一些操控：

• 更改Windows桌面壁纸;

• 关闭或重新启动计算机;

• 用指定的文本显示系统消息;

• 更改鼠标左右按键;

• 使用语音合成器对其指定的短语进行播放;

• 隐藏或重新打开Windows任务栏;

• 打开或关闭光驱;

• 打开或关闭显示器;

• 在浏览器中打开一个页面(内置了3个恐怖flash动画地址);

• 读取，安装或删除系统注册表的指定键值;

• 接收并向控制服务器发送屏幕截图;

• 下载并运行指定的程序文件;

• 更新或删除木马的程序文件

这里面最危险的功能之一是内置的键盘记录器，它可以记住中招用户的键盘操作。并根据命令，将这些数据回传到攻击者的服务器。

键盘记录功能：

键盘记录部分代码片断：

图9

图10

图11

其它功能模在此不一一列举；

另外这里发现一个有趣的现象：如果服务端下发三个特殊指令：中木马机器将会自动弹出三个恐怖吓人的Flash动画并伴有极为恐怖的声音：

图12

高能预警！以下配图可能引起不适，请慎重下拉！

（由于图片过于恶心，小编已经贴心的给您进行了屏蔽，23333）

在木马普遍追求商业利益的今天，这类以恐吓或让用户难堪的恶作剧手段已不常见。但值得注意的是，该木马具备随时更新升级的功能，其背后是否还隐藏着其他破坏企图也未可知。