黑狐病毒簡稱“黑狐”[1] 是一個木馬病毒。
“黑狐”可受黑客遠程控制,推廣各種流氓軟體,盜刷用戶流量;還可以偽裝成正常軟體,騙過大部分主流防毒軟體的“火眼金睛”。被命名為“黑狐”的高危木馬正在興風作浪,初步統計已影響近百萬用戶,危害極大。
該木馬病毒是一個黑客遠程控制的後門,並且極其狡猾,變種多、對抗多、隱蔽性強,一般防毒軟體難以查殺,故將其命名為“黑狐”。目前,騰訊電腦管家已經首家推出針對“黑狐”的專殺工具,可對該木馬進行完美截殺
基本介紹
- 中文名:黑狐
- 外文名:Black foxes
- 性質:木馬病毒
- 目的:推廣流氓軟體,盜刷用戶瀏覽
病毒介紹,偽裝性好,傳播迅速,隱蔽性強,難以清除,病毒危害,
病毒介紹
黑狐病毒簡稱“黑狐”是一個木馬病毒。
“黑狐”可受黑客遠程控制,推廣各種流氓軟體,盜刷用戶流量;還可以偽裝成正常軟體,騙過大部分主流防毒軟體的“火眼金睛”。被命名為“黑狐”的高危木馬正在興風作浪,初步統計已影響近百萬用戶,危害極大。
該木馬病毒是一個黑客遠程控制的後門,並且極其狡猾,變種多、對抗多、隱蔽性強,一般防毒軟體難以查殺,故將其命名為“黑狐”。目前,騰訊電腦管家已經首家推出針對“黑狐”的專殺工具,可對該木馬進行完美截殺。
騰訊電腦管家截殺圖偽裝性好
該木馬與正常的軟體“混編”,用戶在打開該木馬程式時,誤以為是正常的程式。由於打開過程中,沒有明顯的異常,且木馬的主要檔案是在運行後經過數輪的下載才安裝到用戶機器中,在原始樣本中只含有少量代碼,通過檔案體積等完全無法看出。
偽裝成正常軟體的黑狐木馬截圖傳播迅速
使用惡意新聞簡單報、惡意便簽等各種傳播推廣渠道迅速推開,在很短的時間內迅速感染近百萬台電腦。當安全廠商監控到該木馬廣度過大後,會進行人工分析,而人工分析地不徹底,就會導致木馬被設定為信任而不報毒。截止3月31日,黑狐木馬的母體和子體在VirusTotal上包括騰訊電腦管家在內只有三家報毒。
木馬的下載流程圖隱蔽性強
該木馬使用了開機回寫、啟動刪除、驅動隱藏等技術,在電腦開機時,由系統用木馬檔案替換系統檔案,在木馬啟動後,再用備份的系統檔案替換掉木馬檔案,因此木馬檔案在系統關鍵位置存留的時間很短,且使用了rootkit技術,隱蔽性很強,絕大多數安全軟體在電腦體檢和木馬掃描時不會掃描到木馬檔案及其啟動項。
大部分安全廠商不報毒難以清除
由於該木馬駐留在Winlogon.exe進程中,該進程是windows用戶登錄程式,啟動地比安全軟體早,而關閉地比安全軟體遲。且在核心中含有rootkit保護驅動,即便被掃描出來,也很難被徹底清除。
使用註冊表方式實現自啟動病毒危害
“黑狐”的代碼會與正常軟體混合編寫,被用戶當成正常軟體下載。即便運行程式之後也看不出任何中毒端倪,電腦沒有明顯異常,可是該木馬卻通過後台偷偷下載其餘代碼,暗中“成長”。
“黑狐”木馬模組分工示意圖