當(dāng)你在網(wǎng)上購(gòu)物付款時(shí)，一個(gè)名為“瘦男孩”的木馬很可能偷偷潛伏在系統(tǒng)里，暗中篡改付款對(duì)象劫持交易資金。據(jù)360互聯(lián)網(wǎng)安全中心的追蹤分析，“瘦男孩”木馬已攻擊了近百萬臺(tái)電腦，是2015年國(guó)內(nèi)爆發(fā)的規(guī)模最大、隱蔽性最強(qiáng)的木馬家族。Google旗下在線殺毒掃描平臺(tái)VirusTotal的檢測(cè)結(jié)果顯示，迄今全球僅360殺毒和安全衛(wèi)士可查殺“瘦男孩”木馬。

圖：VirusTotal顯示全球僅360可查殺“瘦男孩”木馬

　　“瘦男孩”大胃口：專偷網(wǎng)購(gòu)資金

　　該木馬之所以稱為“瘦男孩”，是因?yàn)樗脑缙诎姹臼褂昧薼anker-boy.com域名作為木馬服務(wù)器，木馬的關(guān)鍵惡意代碼則是隱藏在lanker.dll加密文件中。

圖：“瘦男孩”木馬偽裝為記事本圖標(biāo)誘騙受害者點(diǎn)擊

　　據(jù)360QVM引擎團(tuán)隊(duì)分析，“瘦男孩”木馬主要通過壓縮包文件傳播，如果系統(tǒng)設(shè)置不顯示隱藏文件和文件后綴，木馬程序很容易被誤認(rèn)為一個(gè)名為“123”的記事本，但它實(shí)際上卻是exe格式的可執(zhí)行程序。

　　如果電腦沒有開啟360安全衛(wèi)士實(shí)時(shí)防護(hù)，一旦點(diǎn)擊運(yùn)行木馬，電腦上的網(wǎng)購(gòu)支付操作將會(huì)被木馬劫持，付款對(duì)象變?yōu)楹诳椭付ǖ闹Ц顿~戶，整個(gè)過程非常隱蔽，普通網(wǎng)友難以察覺。對(duì)受害者來說，這意味著網(wǎng)購(gòu)時(shí)明明付款了，交易記錄中卻查不到商品的付款信息。

　　裝委屈，“瘦男孩”讓多家殺毒軟件大開綠燈

　　普通木馬病毒面對(duì)殺毒廠商避之唯恐不及，狡猾的“瘦男孩”偏偏反其道而行之，竟主動(dòng)在國(guó)內(nèi)各大殺毒軟件論壇提出“誤報(bào)”反饋，使一些殺毒廠商放松了警惕，對(duì)此木馬解除“誤報(bào)”后不再查殺，這也使“瘦男孩”得以大肆傳播。

圖：“瘦男孩”木馬作案流程

　　在網(wǎng)上搜索“lanker-boy”相關(guān)信息可以發(fā)現(xiàn)，這個(gè)賬號(hào)從2015年初就活躍在各家殺毒軟件論壇中，并多次以“軟件被誤報(bào)了，希望工程師及時(shí)處理”為主題發(fā)表帖子。如果殺毒軟件工程師僅僅查看“lanker-boy”上傳的文件附件，而沒有分析木馬所有組件完整的行為，那么很容易被其蒙混過關(guān)。某殺毒廠商就因此在一個(gè)月內(nèi)對(duì)“瘦男孩”木馬四次放行。

　　360安全專家石曉虹博士提醒廣大消費(fèi)者，網(wǎng)購(gòu)時(shí)切勿輕易打開賣家發(fā)來的可疑壓縮包，下載軟件和游戲時(shí)也要選擇官方網(wǎng)站或軟件管家等安全渠道，以免電腦感染“瘦男孩”木馬。如果在網(wǎng)購(gòu)付款時(shí)發(fā)現(xiàn)網(wǎng)址異常跳轉(zhuǎn)、瀏覽器卡慢等現(xiàn)象，應(yīng)立即終止付款，并使用360安全衛(wèi)士等專業(yè)安全軟件掃描查殺木馬。