7.5万台电脑中招 “鑫哥木马”瞄准网吧和大学

近期，360安全大脑监测到一款网络劫持木马在众多网吧及大学的机房中大范围传播，目前至少有60家网吧及9所大学受到影响。该木马从2018年9月开始在国内传播，会利用篡改网络设置、劫持客户端网络数据、监控QQ聊天等方式窃取用户的隐私。

360安全团队通过进一步追溯分析发现：在被攻击的网吧或学校机房环境中，均使用了一款名为 “锐起无盘系统（去广告版本）” 的软件。正是该软件，被不法分子利用，向用户电脑中植入带有劫持功能的 “鑫哥木马” 。

“鑫哥木马”的这个名字，看起来也是颇具江湖气，360安全团队的技术人员在监测时发现：木马劫持后的落地页面，则会根据对应的UID来请求服务端数据库中对应的展示内容。如果该步骤的获取出错，则跳转到某导航页面。其所展示的页面中，甚至会用代码在浏览器控制台中打出“人工智能是其发展的核心技术”之类的字样：

浏览器控制台中显示的文字，也是木马名字的由来

根据360互联网安全中心数据统计，目前至少有 60 家网吧及 9 所大学受到影响，被劫持的网站列表超过 9000 个。通过对数据库中的IP进行的统计，发现其中广东的IP占比高达45.02%，其后则是湖南6.78%、吉林4.98%、河南4.8%、广西4.52%。

360安全专家介绍，用户一旦中招，木马作者就会获取中招用户的QQ号及周边信息。那这一木马的目的究竟是什么呢？当然是通过劫持网站、跳转导航、游戏退弹等方式来牟取暴利。

如果用户下载了“锐起”软件的“无广告版”，后台便会自动下发木马程序，导致整个无盘网络系统的机器全部中招。令人意外的是，这个木马程序非常狡猾，为了掩人耳目，它还将自身复制到腾讯TGP、Adobe等常见游戏软件的目录下执行，如此一来，用户想发现它就变得难上加难。

目前，监测到该木马主要植入了用于劫持网站和监控QQ通讯的木马，后续攻击者可能会下发更多恶意程序，如盗号木马、勒索病毒、挖矿程序等进行获利。这类无盘系统一般包含多台计算机，一旦主机中招，整个网络都会受到影响。不过广大用户不要过分恐慌，360安全卫士可以查杀此类木马。

最后，360互联网安全中心提醒用户：

1. 在网吧等公共环境上网，应该格外注意，尽量选择扫描二维码登录避免输入口令。
2. 尽量避免在这类公共环境使用网银、操作涉及个人敏感信息的数据等。
3. 网络管理人员可以通过检查DNS和HOST查看机器是否出现被篡改的情况，也可通过安装360安全卫士查杀此类木马。