“黑狐”可受黑客遠程控制,推廣各種流氓軟體,盜刷用戶流量;還可以偽裝成正常軟體,騙過大部分主流防毒軟體的“火眼金睛”。被命名為“黑狐”的高危木馬正在興風作浪,初步統計已影響近百萬用戶,危害極大。
基本介紹
- 中文名:黑狐
- 發現時間:2014年初
- 類型:木馬變種病毒
病毒介紹,偽裝性好,傳播迅速,隱蔽性強,難以清除,危害嚴重,病毒危害,
病毒介紹
“黑狐”可受黑客遠程控制,推廣各種流氓軟體,盜刷用戶流量;還可以偽裝成正常軟體,騙過大部分主流防毒軟體的“火眼金睛”。被命名為“黑狐”的高危木馬正在興風作浪,初步統計已影響近百萬用戶,危害極大。
偽裝性好
該木馬與正常的軟體“混編”,用戶在打開該木馬程式時,誤以為是正常的程式。由於打開過程中,沒有明顯的異常,且木馬的主要檔案是在運行後經過數輪的下載才安裝到用戶機器中,在原始樣本中只含有少量代碼,通過檔案體積等完全無法看出。
傳播迅速
使用惡意新聞簡單報、惡意便簽等各種傳播推廣渠道迅速推開,在很短的時間內迅速感染近百萬台電腦。當安全廠商監控到該木馬廣度過大後,會進行人工分析,而人工分析地不徹底,就會導致木馬被設定為信任而不報毒。截止3月31日,黑狐木馬的母體和子體在VirusTotal上包括騰訊電腦管家在內只有三家報毒。
隱蔽性強
該木馬使用了開機回寫、啟動刪除、驅動隱藏等技術,在電腦開機時,由系統用木馬檔案替換系統檔案,在木馬啟動後,再用備份的系統檔案替換掉木馬檔案,因此木馬檔案在系統關鍵位置存留的時間很短,且使用了rootkit技術,隱蔽性很強,絕大多數安全軟體在電腦體檢和木馬掃描時不會掃描到木馬檔案及其啟動項。
難以清除
由於該木馬駐留在Winlogon.exe進程中,該進程是windows用戶登錄程式,啟動地比安全軟體早,而關閉地比安全軟體遲。且在核心中含有rootkit保護驅動,即便被掃描出來,也很難被徹底清除。
危害嚴重
該木馬是一個典型的外掛程式型遠控木馬,控制者隨時可以通過命令下發外掛程式,而外掛程式可以由控制者任意定製。當前發現的外掛程式主要是進行流氓推廣,但只要控制者想做,隨時可以下發盜號外掛程式、監控外掛程式、竊密外掛程式等可能給用戶財產、個人隱私造成嚴重損失。
病毒危害
“黑狐”的代碼會與正常軟體混合編寫,被用戶當成正常軟體下載。即便運行程式之後也看不出任何中毒端倪,電腦沒有明顯異常,可是該木馬卻通過後台偷偷下載其餘代碼,暗中“成長”。
