十秒内无人回复我就开始了！
10
9
8
7
6
5
4
3
2
1
0
begin！

图片出不来，再发一次

我为什么要下载

度娘吞我帖子，大家凑合着看看吧

二、“Lanker-Boy”名称由来
1.为了防止木马重复感染，木马作者在样本中编写了互斥标记，名为“Lanker”
2.木马加密的DLL文件名为Lanker.dll
3.从2014年11月至2015年1月，木马作者使用（别开）域名传播木马
4.从2015年1月至2015年3月，木马作者使用（大家别下，手残党除外）云控木马支付账户配置。
5.从2015年1月至今，木马作者使用Lanker-boy账号在多家国内杀软论坛反馈“误报”，并成功骗取一些杀毒厂商信任，使其去除了原本可以查杀的病毒特征。

哈哈，我还胖男孩呢

2）隐蔽性强
一旦木马作者成功骗过杀毒软件，使其删除特征，后面的恶意行为操作就无法被查杀
打开木马压缩包可看到3个文件：

设置显示隐藏文件与后缀名后
木马主程序为“123 .exe”，其图标类似普通记事本图标，目的是诱导用户点击。点击后会加载同目录下的非PE文件，并解密执行。由于主程序并不涵盖实际恶意代码，其它文件又为无实际意义的非PE文件，致使传统的特征引擎并不能很好得查杀。

说重点

3）传播性强
（以下为OD分析）
加载过程：
判断文件名是否包含空格，如不包含则执行正常程序，包含则执行恶意代码。目的是躲过一些杀毒厂商不严格的审核机制。

文件名中不包含空格时：运行该病毒时，会弹出一个伪装成游戏大厅自动更新的程序。

文件名中包含空格时：申请内存，读入非PE文件update.dll。

解密update.dll:

解密前后对比:

创建互斥体“Lanker”：

打开正常的文本文件，诱导用户:

拷贝自身到系统中:

设置开机自启:

同样的方法，申请内存，读入lanker.dll：

解密lanker.dll:

解密前后对比：

解密完成后，木马挂起创建自身进程，注入代码到自己的新进程空间中执行

重点要来了！

从内存中提取该文件可以看到——易语言程序，该程序实现了劫持支付的功能，当用户处于支付宝交易环境时，木马通过云控配置信息如获取收款账号

传统的支付劫持有2个特点
A）更改订单金额，伪装特价商品骗取用户
B）更改收款人，支付金额直接打到木马作者手
而“Lanker-Boy”木马通过后台Post提交参数的方式，用户从浏览器中完全无法看出任何异常，只有在支付之后的交易记录中，才能发现收款人已被替换。而这个时候为时已晚。