近期有玩家反映游戏遭木马盗号并发现黑客就像阴魂不散一样随时都能控制电脑。根据网友反映的样本信息360QVM团队进行分析，发现该木马以内存加载和恢复恶意代码的方式来躲避查杀同时它还会开启3389端口并增加一个管理员帐户，使盗号者能够随时远程登录受害者电脑即使木马被查杀也极易再次中招。

木马一共有四个文件一个快捷方式，三个隐藏属性的文件分别是一张图片，一个exe文件和dll文件exe程序被加密：

可执行程序是隐藏的，咑开快捷方式之后显示了一张图片：

但是木马程序已经在后台开始运行分析快捷方式文件“12浓雾之息.lnk”，我们找到了一个文件名：

这是被快捷方式启动的木马程序继续分析找到这个木马程序，它首先会调用命令行显示图片：

接着释放进一步分析牧马人信息：

通过，我們找到了该QQ号的受害者以及牧马人的相关信息：

根据木马查杀数据从2月初到3月，该盗号远控木马已活跃了一段时间主要通过游戏平台囷聊天软件文件传输进行传播。

在此提醒游戏玩家电脑“文件夹选项”的设置一定要显示文件类型的扩展名，以免被木马文件的名称和圖标迷惑；如果杀毒以后发现电脑反复感染病毒建议使用安全软件“防黑加固”，防止远程端口被黑客控制利用

* 作者：360安全卫士（企業账号），转载请注明来自FreeBuf黑客与极客（FreeBuf.COM）