十秒内无人回复我就开始了！
10
9
8
7
6
5
4
3
2
1
0
begin！

图片出不来，再发一次

度娘吞我帖子，大家凑合着看看吧

二、“Lanker-Boy”名称由来
1.为了防止木马重复感染，木马作者在样本中编写了互斥标记，名为“Lanker”
2.木马加密的DLL文件名为Lanker.dll
3.从2014年11月至2015年1月，木马作者使用（别开）域名传播木马
4.从2015年1月至2015年3月，木马作者使用（大家别下，手残党除外）云控木马支付账户配置。
5.从2015年1月至今，木马作者使用Lanker-boy账号在多家国内杀软论坛反馈“误报”，并成功骗取一些杀毒厂商信任，使其去除了原本可以查杀的病毒特征。

2）隐蔽性强
一旦木马作者成功骗过杀毒软件，使其删除特征，后面的恶意行为操作就无法被查杀
打开木马压缩包可看到3个文件：

设置显示隐藏文件与后缀名后
木马主程序为“123 .exe”，其图标类似普通记事本图标，目的是诱导用户点击。点击后会加载同目录下的非PE文件，并解密执行。由于主程序并不涵盖实际恶意代码，其它文件又为无实际意义的非PE文件，致使传统的特征引擎并不能很好得查杀。

创建互斥体“Lanker”：

打开正常的文本文件，诱导用户:

拷贝自身到系统中:

设置开机自启:

同样的方法，申请内存，读入lanker.dll：

解密lanker.dll:

解密前后对比：

解密完成后，木马挂起创建自身进程，注入代码到自己的新进程空间中执行

重点要来了！

从内存中提取该文件可以看到——易语言程序，该程序实现了劫持支付的功能，当用户处于支付宝交易环境时，木马通过云控配置信息如获取收款账号

传统的支付劫持有2个特点
A）更改订单金额，伪装特价商品骗取用户
B）更改收款人，支付金额直接打到木马作者手
而“Lanker-Boy”木马通过后台Post提交参数的方式，用户从浏览器中完全无法看出任何异常，只有在支付之后的交易记录中，才能发现收款人已被替换。而这个时候为时已晚。

最后，严厉谴责一下用易语言干坏事的所有人，玩坏我大易啊！请所有易语言用户洁身自好，以免堕入深渊。
本文来源：卡饭

不是给大数字打广告啊，大数字首页上就有

感谢卡饭论坛 梧桐还好

吧吧勿删：样本地址，你的杀软不报你就死定了http防://pan误.baidu吞.com/s/1sjmJLTj
本帖所有内容至此结束，欢迎吐槽！
=======================================================================