近日，腾讯安全联合实验室之反病毒实验室旗下的哈勃分析系统，发布《七月威胁情报态势报告——Gh0st恶意网络协议篇》（以下简称《报告》）。《报告》指出，哈勃分析系统对7月捕获到的威胁情报进行协议解析发现，Gh0st是按恶意网络协议分类后比较活跃的木马，该木马变种较多，比较活跃的是原始版本和“KrisR”变种版本。不同变种会倾向于使用不同的C&C服务器域名，且以动态域名为主。

（Gh0st木马趋势变化图）

《报告》数据显示，Gh0st及其各类变种木马是七月活跃较为明显的一类木马，且在上旬活跃度达到峰值。据了解，Gh0st木马能够窃取用户电脑中的各类信息，是有名的后门类木马之一，在2008年该木马作者主动公布了其源代码，导致众多不法分子基于此代码修改开发了不同的变种木马。目前已有多个版本的Gh0st木马代码在网上流传，变种众多、网络协议格式不稳定也成了Gh0st木马的一大特征。

哈勃分析系统通过研究发现，这些木马主要从源代码中协议的Magic字符串、类型标识对应的数值以及数据结构中的字段和含义等三个方面进行修改。其中，协议的Magic字符串是不法分子制作变种木马时最常被修改的位置。《报告》指出，Gh0st木马的一些网络协议用到了Magic字符串，而默认的字符串即是木马的名称“Gh0st”，并且大部分变种使用的Magic字符串保留了与“Gh0st”相同的长度，或是在此基础上重复2次或者3次，少部分变种直接使用了与原Magic字符串完全不同的字符串。《报告》显示，原始版本的“Gh0st”、重复版本“Gh0stGh0st”以及“KrisR”变种版本是较为活跃的木马，三者占比达到88.65%。

（Gh0st木马与Magic字符串分布图）

此外，哈勃分析系统通过对木马连接C&C服务器时使用的域名进行分析发现，域名有按Magic字符串聚集的趋势，使用不同Magic字符串的变种，也会同时更换不同的服务器域名。此外，Gh0st及变种木马还大量使用了动态域名来定位C&C服务器。

（Gh0stGh0st木马C&C服务器域名热度分布图）

（KrisR木马C&C服务器域名热度分布图）

腾讯反病毒实验室哈勃分析系统建议用户，下载和使用软件始终从正规网站或官方网站，不要轻信小型网站、网盘分享的文件以及群、论坛等社交渠道推荐的软件。对于不放心的软件，可以使用哈勃分析系统对其进行检测，如果发现风险，建议安装腾讯电脑管家等安全类软件，并保持其处于运行状态。同时可以配合使用一些防火墙类软件，对于符合已知的恶意网络协议特征的网络数据包进行监控和拦截。