其实这种木马的利用和传播方式还是很老套的，除了作者在payload里面卖了个萌之外。

 

正文：

葡萄牙，比利时，印度，罗马，西班牙等众多国家的facebook用户，正遭到一种新型木马的攻击，这种木马会控制受害者的主机挖掘比特币。

Bitdefender 公司的安全专家声称，已经有大量的Facebook用户被这种木马所感染。Alexandra Gheorghe在他的blog里面写道：这种木马通过facebook中的私信来进行传播，私信中包含一个1IMAG00953.zip，其中有伪装成jpg文件的恶意文件。这个文件会通过预先设置好的Dropbox账号下载DLL文件，这些文件会链接C&C服务器，并返回一个shellcode。在这个shellcode的payload里面有一段这样的信息。

“Hello people.. :) <!– Designed by the SkyNet Team –> but am not the f*****g zeus bot/skynet bot or whatever piece of s**t.. no fraud here.. only a bit of mining. Stop breaking my b***z..

　　大概意思就是说，我就是挖挖矿，没有别的恶意功能，手下留情之类的。shellcode会引发第二个DLL的下载，同时开始挖矿流程。

但是Bitdefender 的安全专家发现了这个木马很多其他的恶意功能，而挖矿只是这些功能之中的一小部分，这个木马每过几个小时就会变换shellcode的内容，在受害主机上执行任何内容。

Facebook的用户，最好还是小心奇怪的私信内容，即便他是你的某个好友发送给你的。

(责任编辑：安博涛)