高度机密：“黑暗幽灵”（别名DCM）木马的前世今生

首先，我无耻的匿了（多层VPN代理，因此那些正在阅读本文而目的却不是本文的正文内容的人，你们可以省省力气了）

关于这个叫DCM的木马，别名“黑暗幽灵”，我看到这个木马的分析报告的时候瞬间就震惊了。我震惊的原因不是因为这个木马的功能强大，也不是因为它的免杀手段，而是因为我是这个木马的设计和开发者之一！设计和开发团队大概10人左右，但是团队成员现在分布在全国各地多家不同行业的公司，因此我觉得把我们全部请去喝茶的可能性不大，况且就算真的被请去喝茶了，我也会装作没有见过这篇文章的。

没错，任何一个人都可以站出来，声称他是这木马的作者或设计者。而我却没办法在不泄漏自己真实身份的情况下证明我所写的内容，所以作为本文的读者，如果你不相信我所写的内容，那么就没必要继续读下去了。

DCM木马的前世

首先我要证实一下大家的猜测：这个木马确实和G0V有关系，属于一款特殊用途的专用木马。我不便透露具体客户的身份。

这个木马的项目开始时间大概是2011年，目的是作为当时一个在役的木马（以下简称旧马）的继任者。之所以需要一个旧马的继任者，是因为旧马是基于一款开源的远程控制软件（以下简称原型远控）修改而成的，它主要有以下几方面的缺点：
* 免杀
原型远控在黑客圈子里比较知名，基于它的木马变种非常多。因此杀毒软件对它的查杀力度很大，免杀难度相对较高，保持的时间也较短，经常需要更新。
* 隐蔽
旧马沿用了原型远控的TCP反弹连接协议，因此主控端需要具有IP地址，某些应用环境下必须是公网IP地址，因此具有泄漏木马使用者身份的风险
* 功能
原型木马设计更像灰鸽子，被控端上线以后接受控制端发送的命令，然后将结果发送回控制端。旧马虽然努力改变这一设计，但受限于原型木马的框架，大的功能改动显得力不从心。

由于原型木马的先天缺陷，导致了旧马各方面难以弥补的不足，因此一个新的继任木马的需求也就被提出来了。

DCM木马的诞生

这个继任者的设计理念包括一下几点：
* 无进程无窗口
该木马的受害者不能明显察觉到任何异样
* 长期免杀
杀毒软件与防火墙不能发现和拦截，包括木马的安装过程，以及安装成功以后的长期运行
* 不泄漏使用者信息
必须保障该木马控制者身份的绝对安全，任何情况下都不能泄漏控制者的IP地址、域名或者其他任何有价值的身份信息。即使样本被杀毒软件厂商获取并分析，也无法得知控制者的确切身份。
* 完全自动化
无需人工介入，根据事先的配置设置，全自动窃取信息并回传。没有网络连接的情况下要保存获取的信息，发现可用网络连接后进行回传。

经过几个月的设计与开发，这个继任者木马诞生了。

该木马的功能与特点已经没有必要在这里赘述了，网上的分析文章写的清清楚楚，总结下来就是自动记录并发送被感染电脑上的一切隐私内容。

DCM木马的感染方式

其实该木马本身是不会主动传播的，它的设计就是潜伏并回传数据。它的传播是依赖另外几套系统来实现的（以下统称传播系统），而且这些传播方式也并不局限与传播DCM木马。这些传播系统的传染方式当然也不仅局限于分析文章里所提到的替换正常软件自动更新文件的方式。此外，该木马仅用于特定目标人群的”定点打击“，并不会大量传播。
* 正规软件的自动更新
在网上的分析文章里已经写了，通过替换正常软件的自动更新网络数据，使这些软件下载木马并执行。很多正规软件都直接运行在管理员模式下，还帮木马省去了提权的麻烦。
* 下载可执行文件捆绑
被列入”定点打击“的电脑如果下载了不超过一个预设大小的EXE文件，则传播系统会将木马捆绑在这些正常的EXE文件上，而且并不会破坏原有可执行文件。用户一旦运行了下载的EXE文件就会被感染。
* 压缩文件感染
被列入”定点打击“的电脑如果下载了一个符合某些条件的压缩文件，则传播系统会根据配置将木马插入压缩文件中，替换掉压缩文件中的可执行文件，或者替换掉整个压缩文件，从而实现感染目标主机的目的。
* 浏览器劫持感染
这个感染方式比较极端，只有少量情况下会使用。当该感染方式启动时，用户电脑无法正常浏览部分甚至全部网站，浏览器会被重定向到一个钓鱼页面，要求用户安装”浏览器插件”或者“必要更新”一类的内容，从而诱导甚至强迫用户安装木马。

DCM木马相关的其他木马项目

毫无疑问DCM是针对Windows平台的木马，然而这并不表示其他平台就是安全的。但出于自身安全的原因，我在此不便透露更多细节。

DNS嗅探，信息拦截。。。
这不是国家队才怪了。。。