黑狐

“黑狐”可受黑客遠程控制，推廣各種流氓軟體，盜刷用戶流量；還可以偽裝成正常軟體，騙過大部分主流殺毒軟體的“火眼金睛”。被命名為“黑狐”的高危木馬正在興風作浪，初步統計已影響近百萬用戶，危害極大。

該木馬是一個黑客遠程控制的後門，並且極其狡猾，變種多、對抗多、隱蔽性強，一般殺毒軟體難以查殺，故將其命名為“黑狐”。目前，騰訊電腦管家已經推出針對“黑狐”的專殺工具，可對該木馬進行完美截殺。

該木徠馬與正常的軟體“混編”，用戶在打開該木馬程序時，誤以為是正常的程序。由於打開過程中，沒有明顯的異常，且木馬的主要文件是在運行后經過數輪的下載才安裝到用戶機器中，在原始樣本中只含有少量代碼，通過文件體積等完全無法看出。

使用惡意新聞簡單報、惡意便簽等各種傳播推廣渠道迅速推開，在很短的時間內迅速感染近百萬台電腦。當安全廠商監控到該木馬廣度過大后，會進行人工分析，而人工分析地不徹底，就會導致木馬被設置為信任而不報毒。截止3月31日，黑狐木馬的母體和子體在VirusTotal上包括騰訊電腦管家在內只有三家報毒。

該木馬使用了開機回寫、啟動刪除、驅動隱藏等技術，在電腦開機時，由系統用木馬文件替換系統文件，在木馬啟動后，再用備份的系統文件替換掉木馬文件，因此木馬文件在系統關鍵位置存留的時間很短，且使用了rootkit技術，隱蔽性很強，絕大多數安全軟體在電腦體檢和木馬掃描時不會掃描到木馬文件及其啟動項。

由於該木馬駐留在Winlogon.exe進程中，該進程是windows用戶登錄程序，啟動地比安全軟體早，而關閉地比安全軟體遲。且在內核中含有rootkit保護驅動，即便被掃描出來，也很難被徹底清除。

該木馬是一個典型的插件型遠控木馬，控制者隨時可以通過命令下發插件，而插件可以由控制者任意定製。當前發現的插件主要是進行流氓推廣，但只要控制者想做，隨時可以下發盜號插件、監控插件、竊密插件等可能給用戶財產、個人隱私造成嚴重損失。

“黑狐”的代碼會與正常軟體混合編寫，被用戶當成正常軟體下載。即便運行程序之後也看不出任何中毒端倪，電腦沒有明顯異常，可是該木馬卻通過後台偷偷下載其餘代碼，暗中“成長”。