為了省錢，很多人會嘗試各種各樣的方法免費獲取網盤和視頻網站的VIP權限。正因為有這種需求，各種所謂的“網盤不限速神器”或是“VIP助手”也就應運而生了。但這個工具那個助手的真就靠譜么？360互聯網安全中心最近就連續接到了兩起關于此類程序的舉報。
兩起舉報的程序，一個是“百度網盤不限速工具”，而另一個則是“全網VIP解析助手”（視頻網站VIP工具），而舉報的原因全都是——自己莫名其妙的就購買了多張iTunes電子禮品卡。

以其中“百度網盤不限速工具”為例，現在依然可以在搜索引擎中輕松搜索到相關信息：

俗話說“做戲要做足”，這個木馬還是挺專業的。如果你下載回來之后直接運行這個破解工具，其實是什么都不會發生的——因為他會查找百度網盤的進程：

如果找不到百度網盤進程，就直接退出了，什么都不做。

而一旦存在有BaiduNetdisk.exe的進程，便會發起一個HTTP請求確認版本。

然后會順手patch一下BaiduNetdisk.exe的進程，但是不是真的能加速就不得而知了。不過這也不是重點，重點是patch完之后，它會繼續釋放了幾個真正的木馬文件：

最后再把這個創建的SysteCsrss.exe跑起來

釋放的三個程序，其實是一個比較典型的白利用遠控木馬。首先，SystemCsrss.exe帶有“北京世紀奧通科技有限公司”的簽名。

而改程序啟動的時候，導入表會自動加載那個libcef.dll：

其次，這個libcef.dll實際上也只是一個Loader。一旦執行，回去加載并執行最后釋放的那個名為data.lnk的ShellCode

運行起來之后，其實就是個普通的遠控了——先是從一個服務器上拿到了遠控上線域名：

之后就是遠控上線，接受黑客控制：

最終，在受害人機器上展示出的現象就是在用戶離開的時候，黑客利用遠控程序向受害人機器下達命令，創建了一個新的管理員權限用戶，再利用微軟自帶的遠程桌面功能登錄受害人機器（這樣方便黑客使用圖形界面操縱受害人機器）：

并在完全不知情的情況下使用受害人賬戶購買了多張iTunes電子禮品卡：

實際上該程序早已被360識別并查殺了：

而用戶之所以中招，是因為用戶有時太相信所謂的輔助工具被殺毒軟件“誤報”是正常現象，所以選擇了自行將木馬程序加入了白名單中：

借此機會提供廣大用戶，360不會隨便誤報所謂的“外掛”或“輔助工具”，報毒一定有原因，為了自己的財產安全，請一定要相信安全軟件的“判斷力”。