近日，360安全大腦監測到，裝機盤惡意驅動XQGuard小強木馬有所更新（舊版本小強木馬分析報告：

https：//bbs。360。cn/forum。php？mod=viewthread&tid=15963031&highlight=%E5%B0%8F%E5%BC%BA），不同於之前慫到遇監控軟體和殺軟即“自盡”的唯唯諾諾姿態，新版本的小強開始了針對殺軟的武裝抵抗。

不過廣大使用者無需擔心，360安全衛士即可對此類木馬的攔截和查殺。

一．躬耕於黑暗，侍奉於光明——驅動隱藏與回寫

“躬耕於黑暗，侍奉於光明”，這是小強的內心獨白；“開燈”（開機）就躲避，“關燈”（關機）就顯形，這是小強的真實寫照。

不同於以往檢測到安全工具和殺軟才隱藏自己的行為，新的小強驅動，開機載入之後就會當機立斷刪除自身的登錄檔和磁碟驅動檔案，來隱藏自身。如同白晝的小強們家中縫隙藏身，小強驅動載入後也僅在記憶體中苟存。

什麼？你問小強何以至此？

“打工是不可能打工的，這輩子都不可能打工的，只能靠改改瀏覽器首頁，做做惡意流氓軟體捆綁安裝之類的，維持一下生活這樣子”，委身於黑暗中（記憶體中）的小強給出了答案，“但是和殺軟掐架我又掐不贏的嘛，總得先躲一躲啦。”

隨後，為了能在下次受害者機器開機時再次載入，小強註冊了一個關機回撥，在關機回撥中來回寫自己的登錄檔和檔案，達到長期駐留的目的。

二．天下風雲出我輩，一入江湖歲月催——利益驅動下的殺軟對抗

苦於360安全衛士等殺軟的查殺，小強被圍剿殆盡，髒錢掙得是越來越少了。

某日，小強受到某電影的啟發，一躍而起，振臂一呼， “我是想站著，還把錢賺了！” ，開始了掙扎和抵抗。

小強去拜了一個自稱複姓慕容的師傅，學了一門“斗轉星移”的武功。（小強作者去了一個git開頭的網站，抄了些程式碼。）

新版本的小強開始透過自己依託於裝機盤的主場優勢，搶先一步註冊程序建立回撥，來阻止殺軟程序，抄來的18般兵器，全招呼上。

小強說，“殺人誅心（殺程序還刪檔案）。”

首先規則一，判斷新程序所在的檔案路徑，如果該程序在指定殺軟目錄下，則結束程序，並刪除該程序對應的磁碟檔案。

命中殺軟資料夾規則，則結束殺軟程序，並透過下發IRP刪除對應檔案：

規則二，判斷新程序的程序名，如果命中指定的殺軟程序名，同樣是殺程序刪檔案。

規則三，計算新程序對應檔案的md5，與指定的一批殺軟md5比較，命中則殺程序刪檔案。

規則四，透過資料目錄表定位新程序的Security段和Debug段，在這兩個段中暴力搜尋記憶體，查詢指定殺軟的符號資訊，命中則殺程序刪檔案。

同時，小強為了防止程序回撥被patch，建立了執行緒while死迴圈檢測自身程序回撥的機器指令，一旦發現程序回撥被patch，則立即進行恢復。

所有的這些對抗手段，都是為了完成驅動層透過Apc進行dll注入，達到最終改首頁，做軟體捆綁掙髒錢的目的。

三．安全建議

以“免費”一鍵安裝，“免費”啟用等口號為誘餌，行病毒木馬，流氓軟體之事的案例屢見不鮮。這些木馬篡改瀏覽器首頁，強制下載流氓軟體，佔用受害者機器資源，影響受害者電腦的日常使用。

但請廣大使用者無需擔心，安裝360安全衛士即可對此類木馬進行攔截和查殺。希望廣大使用者保持360安全衛士的常駐保護，警惕360安全衛士所攔截的危險行為。中毒使用者亦可下載安裝360安全衛士（www。360。cn）以及360系統急救箱，皆可查殺木馬。