黑狐木馬

黑狐木馬

黑狐木馬簡稱黑狐,是一個木馬病毒。

“黑狐”可受黑客遠程控制,推廣各種流氓軟體,盜刷用戶流量;還可以偽裝成正常軟體,騙過大部分主流防毒軟體的“火眼金睛”,危害極大。騰訊電腦管家已經推出針對“黑狐”的專殺工具,可對該木馬進行完美截殺。

基本介紹

病毒簡介,偽裝性好,傳播迅速,隱蔽性強,難以清除,危害嚴重,

病毒簡介

黑狐木馬簡稱黑狐,是一個木馬病毒。
“黑狐”的高危木馬正在興風作浪,初步統計已影響近百萬用戶,危害極大。“黑狐”可受黑客遠程控制,推廣各種流氓軟體,盜刷用戶流量;還可以偽裝成正常軟體,騙過大部分主流防毒軟體的“火眼金睛”。騰訊電腦管家已經推出針對“黑狐”的專殺工具,可對該木馬進行完美截殺。

偽裝性好

該木馬與正常的軟體“混編”,用戶在打開該木馬程式時,誤以為是正常的程式。由於打開過程中,沒有明顯的異常,且木馬的主要檔案是在運行後經過數輪的下載才安裝到用戶機器中,在原始樣本中只含有少量代碼,通過檔案體積等完全無法看出。
黑狐木馬
運行後的木馬界面

傳播迅速

使用惡意新聞簡單報、惡意便簽等各種傳播推廣渠道迅速推開,在很短的時間內迅速感染近百萬台電腦。當安全廠商監控到該木馬廣度過大後,會進行人工分析,而人工分析地不徹底,就會導致木馬被設定為信任而不報毒。截止3月31日,黑狐木馬的母體和子體在VirusTotal上包括騰訊電腦管家在內只有三家報毒。
黑狐木馬
木馬的下載流程圖

隱蔽性強

該木馬使用了開機回寫、啟動刪除、驅動隱藏等技術,在電腦開機時,由系統用木馬檔案替換系統檔案,在木馬啟動後,再用備份的系統檔案替換掉木馬檔案,因此木馬檔案在系統關鍵位置存留的時間很短,且使用了rootkit技術,隱蔽性很強,絕大多數安全軟體在電腦體檢和木馬掃描時不會掃描到木馬檔案及其啟動項。
黑狐木馬
大部分安全廠商不報毒

難以清除

由於該木馬駐留在Winlogon.exe進程中,該進程是windows用戶登錄程式,啟動地比安全軟體早,而關閉地比安全軟體遲。且在核心中含有rootkit保護驅動,即便被掃描出來,也很難被徹底清除。
黑狐木馬
使用註冊表方式實現自啟動

危害嚴重

該木馬是一個典型的外掛程式型遠控木馬,控制者隨時可以通過命令下發外掛程式,而外掛程式可以由控制者任意定製。當前發現的外掛程式主要是進行流氓推廣,但只要控制者想做,隨時可以下發盜號外掛程式、監控外掛程式、竊密外掛程式等可能給用戶財產、個人隱私造成嚴重損失。
黑狐木馬
黑狐木馬模組分工示意圖

相關詞條

熱門詞條

聯絡我們