作为经典科幻影片之一，《变形金刚》广受影迷们的喜爱。影片中，令人印象深刻的除了正义的汽车人小分队，霸天虎军团作为反派同样是声名远扬。

以威震天为首领，霸天虎与汽车人的恶斗场面组成了《变形金刚》系列的经典片段，并最终被人们铭记脑海。

你以为上述场景，仅存在于电影当中？不，其实在 *** 安全领域类似故事也在上演。

这次的大反派自2018年起，通过幽虫、独狼、双枪、紫狐、贪狼等多个病毒木马家族，利用盗版Ghost系统、激活破解工具、热门游戏外挂等渠道传播，在用户电脑上安装Rootkit后门。

自诞生以来，这个超大的病毒团伙和国内众多杀毒厂商斗智斗勇，一个团伙被打退，很快就有新的团伙取而代之，其真面目则一直是个谜。

4月29日，腾讯安全发文称终于揪出了这个年度更大的黑产界“霸天虎军团”。

初识“霸天虎”

腾讯安全专家通过例行的智能分析系统查询发现，双枪、紫狐、幽虫和独狼系列木马都被聚类到同一个自动家族T-F-8656。

从自动家族T-F-8656中筛选出部分关键节点，并使用3D模式进行可视化展示后，发现幽虫、独狼、双枪、紫狐以及关联到的盗号、恶意推装木马之间联系非常紧密，但又层次分明，这一布局就像有人专门设计的结构。

正如上述，该团伙通过木马病毒安装Rootkit后门，通过多种流行的黑色产业变现牟利，其“业务”包括，云端控制下载更多木马、强制安装互联网软件、篡改锁定用户浏览器、刷量、挖矿等等。

据悉，该病毒团伙在2018年7-8月为活跃高峰，当时被感染的电脑在3000万-4000万台之间。

之后，该病毒的传播有所收敛，在2018年8-11月感染量下降到1000万-2000万之间。至今，被该病毒团伙控制的电脑仍在200-300万台。

进一步调查显示，该病毒团伙的受害者分布在全国各地，其中广东、山东、江苏受害最为严重。

该病毒团伙受害者地域分布如下图所示：

腾讯安全称，通过多个维度分析幽虫、独狼、双枪、紫狐、贪狼等病毒木马的技术特点、病毒代码的同源性分析、C2服务器注册、托管等线索综合分析，最终判断这5个影响恶劣的病毒团伙背后是由同一个黑客组织操控。

进一步对上图中涉及的所有信息进行分析整理，可以发现，幽虫和独狼木马通过盗版GHOST系统、系统激活工具、游戏外挂等多种渠道进行传播，负责在受害者系统中安装Rootkit，并将自身进行持久化（通过安装木马长时间控制目标系统，业内俗称“持久化”），然后再通过下载者木马投递双枪、紫狐、盗号木马等多种恶意程序，同时还在中毒电脑上推广安装多个软件、弹出广告或刷量。

可见，各个木马家族之间分工明确，环环相扣，组成了一个完整的产业链。（如上图）

病毒团伙的庐山真面目

既然确定了攻击出自同一病毒团伙，那它的真面目又是什么？其背后是否真的有一个完善的 *** 犯罪团伙在运作？我们且看下面的具体分析。

先从幽虫木马开始。