12月12日动静，360安然卫士微博发布木马警报称，一类专门对准“双十二”网购消费者的木马活跃度敏捷增加。此木马属于网购木马家族的一个分支，从本年6月份开端已变种多次。最新的“双十二猎手”变种特别桀，其特点包含：

　　1、操纵nmake工作履行脚本，导进注册表键，实现开机自启动;

　　2、操纵号令行版XueTr(一款手工杀毒东西)，加载驱动粉碎杀毒软件，传染WgaTray.exe做开机启动项;

　　3、该木马安装法度还带有运行时候鉴定，过了2013年12月12日，安装法度将不再安装木马;

　　4、周全打劫淘宝、京东、易迅、付出宝、财付通、招农行工建中等网上生意和网银付出，把付出资金劫持到第三方平台采办游戏点卡再销赃。

　　据介绍，360安然卫士和360杀毒具有对木马操纵nmake的反对能力，可以将“双十二猎手”木马覆灭在萌芽状况。而其他一些杀毒软件，经测试会被“双十二猎手”强迫粉碎，没法启动。

　　假定网友发现本身利用的杀毒软件无故退出、没法启动，这是“双十二猎手”的歹意驱动已节制了系统，建议下载利用360系统急救箱http://www.360.cn/jijiuxiang/index.html，查杀木马后便可恢复正常。

　　以下是“双十二猎手”木马手艺阐发

　　几个传播量最大年夜的木马样本：

　　木马启动后，释放一组文件到“C:\Program Files\淘宝什物图”目次下，并在桌面新建“淘宝实拍图”的快捷编制，这个快捷编制指向的是微软的nmake文件。

　　nmake文件，本身会往履行makefile文件中的脚本，本来是要做一些编译调剂的工作。木马精心计表情关了一个makefile文件，用来安装木马法度。这类编制，是本年比较风行的新白操纵(也称为“白加黑”)手法。

　　经由过程nmake导进的一个注册表文件，文件是Sysinternals的PsExec东西的授权项，木马安装法度预备操纵PsExec东西来写注册表，所以先导进了它的授权：

　　木马的安装脚本中鉴定了当前的系统时候，假定过了2013年12月12号，木马将直接退出，不进行安装。

　　将木马的指导器写进启动项，同时替代系统的wgatray文件。

　　被木马替代的wgatray法度，这个法度是微软用来进行正版验证的，网上有良多经由过程点窜这个文件破解微软把持系统的法度。这个法度被传染以后，假定杀软没法点窜，将造成木马杀而不死的环境。

　　木马已被写进了启动项，初步完成安装，重启计较机：

　　重启以后，双十二猎手木马开端搏斗了，操纵号令行版本的XueTr，删除杀软的文件：

　　被操纵的号令行版XueTr：

　　以后加载驱动，结束杀软过程，木马开端了其真实的工作——网购盗窃。

　　小火伴们，双十一是不是是还没抢够的，双十二还要再买两件新衣服？木马也这么觉得……

　　神马天猫淘宝付出宝、招行农行工建中、京东易讯财付通，十足打劫了往。

　　付款时订单金额被点窜，实际上订单已被转到他人买点卡了或网银转账了：

　　木马的通信数据包：

　　里面包含实际的收款人信息：小火伴们买东东的钱，都被无情的转给了这小我：

　　防御办法

　　早在本年6月份，360已率先反对了此类网购木马分支。木马操纵nmake履行，直接被360安然卫士禁止：

　　但某些被木马列为报复打击名单的其他杀毒软件用户就没这么荣幸了。经测试，这些软件今朝还不具有防御“双十二猎手”的能力。木马被履行以后，下次开机，这些软件就已被猎杀而没法启动了。

　　假定用其他软件而不幸中招了，可以下载360系统急救箱来解救，可以或许完全查杀木马避免网购资金被打劫。