黑狐(木马病毒)
“黑狐”可受黑客远程控制,推广各种流氓软体,盗刷用户流量;还可以伪装成正常软体,骗过大部分主流防毒软体的“火眼金睛”。被命名为“黑狐”的高危木马正在兴风作浪,初步统计已影响近百万用户,危害极大。
基本介绍
- 中文名:黑狐
- 发现时间:2014年初
- 类型:木马变种病毒
病毒介绍
“黑狐”可受黑客远程控制,推广各种流氓软体,盗刷用户流量;还可以伪装成正常软体,骗过大部分主流防毒软体的“火眼金睛”。被命名为“黑狐”的高危木马正在兴风作浪,初步统计已影响近百万用户,危害极大。
该木马是一个黑客远程控制的后门,并且极其狡猾,变种多、对抗多、隐蔽性强,一般防毒软体难以查杀,故将其命名为“黑狐”。目前,腾讯电脑管家已经推出针对“黑狐”的专杀工具,可对该木马进行完美截杀。
伪装性好
该木马与正常的软体“混编”,用户在打开该木马程式时,误以为是正常的程式。由于打开过程中,没有明显的异常,且木马的主要档案是在运行后经过数轮的下载才安装到用户机器中,在原始样本中只含有少量代码,通过档案体积等完全无法看出。
传播迅速
使用恶意新闻简单报、恶意便签等各种传播推广渠道迅速推开,在很短的时间内迅速感染近百万台电脑。当安全厂商监控到该木马广度过大后,会进行人工分析,而人工分析地不彻底,就会导致木马被设定为信任而不报毒。截止3月31日,黑狐木马的母体和子体在VirusTotal上包括腾讯电脑管家在内只有三家报毒。
隐蔽性强
该木马使用了开机回写、启动删除、驱动隐藏等技术,在电脑开机时,由系统用木马档案替换系统档案,在木马启动后,再用备份的系统档案替换掉木马档案,因此木马档案在系统关键位置存留的时间很短,且使用了rootkit技术,隐蔽性很强,绝大多数安全软体在电脑体检和木马扫描时不会扫描到木马档案及其启动项。
难以清除
由于该木马驻留在Winlogon.exe进程中,该进程是windows用户登录程式,启动地比安全软体早,而关闭地比安全软体迟。且在核心中含有rootkit保护驱动,即便被扫描出来,也很难被彻底清除。
危害严重
该木马是一个典型的外挂程式型远控木马,控制者随时可以通过命令下发外挂程式,而外挂程式可以由控制者任意定製。当前发现的外挂程式主要是进行流氓推广,但只要控制者想做,随时可以下发盗号外挂程式、监控外挂程式、窃密外挂程式等可能给用户财产、个人隐私造成严重损失。
病毒危害
“黑狐”的代码会与正常软体混合编写,被用户当成正常软体下载。即便运行程式之后也看不出任何中毒端倪,电脑没有明显异常,可是该木马却通过后台偷偷下载其余代码,暗中“成长”。