腾讯反病毒 实验室近期捕获了“黑狐”木马的最新变种，这已经是该木马从2014年初首次发现以来的第三个大变种，本次全国感染量近百万。本文通过对“黑狐”木马多个 版本的分析对比，来探究当前主流木马在对抗杀软技术、传播渠道、获利方式上的一些特征和线索，也为预知和防御新的变种寻找思路。

据腾讯电脑管家报道，腾讯反病毒最近捕获了一种“黑狐”木马病毒，这是也是2014年来发现最大变种，对全国百万台电脑，大家也知道病毒对电脑、个 人隐私和财产的危害性，黑狐病毒主要特效是伪装性好、传播迅速、隐蔽性强、难以清除和危害性严重，这让很多用户招架不住，下面豆豆对“黑狐”病毒这些特效 和线索进行全面介绍下，让我们对黑狐木马也有更好的安全防范措施。
 

　　黑狐病毒感染百万电脑 黑狐木马特效及防护介绍：

　　1、伪装性好：该木马与正常的软件“混编”，用户在打开该木马程序时，误以为是正常的程序。由于打开过程中，没有明显的异常，且木马的主要文件是在运行后经过数轮的下载才安装到用户机器中，在原始样本中只含有少量代码，通过文件体积等完全无法看出。

　　图1. 运行后的木马界面

　　图2. 木马的下载流程图

　　2、传播迅速：使用恶意新闻简单报、恶意便签等各 种传播推广渠道迅速推开，在很短的时间内迅速感染近百万台电脑。当安全厂商监控到该木马广度过大后，会进行人工分析，而人工分析地不彻底，就会导致木马被 设置为信任而不报毒。截止3月31日，黑狐木马的母体和子体在VirusTotal上包括腾讯电脑管家在内只有三家报毒。

　　图3. 截至目前，大部分安全厂商不报毒

　　3、隐蔽性强：该木马使用了开机回写、启动删除技术，在电脑开机时，由系统用木马文件替换了系统文件，在木马启动后，会用备份的系统文件替换掉木马文件，因此木马文件在系统关键位置存留的时间很短，隐蔽性很强，绝大多数安全软件在电脑体检和木马扫描时不会扫描到木马文件及其启动项。

　　图4. 使用注册表PendingFileRenameOperations方式实现自启动

　　4、难以清除：由于该木马驻留在Winlogon.exe进程中，该进程是windows用户登录程序，启动地比安全软件早，而关闭地比安全软件迟。即便被扫描出来，也很难被彻底清除。

　　5、危害严重：该木马是一个典型的插件型远控木马，控制者随时可以通过命令下发插件，而插件可以由控制者任意定制。当前发现的插件主要是进行流氓推广，但只要控制者想做，随时可以下发盗号插件、监控插件、窃密插件等可能给用户财产、隐私造成严重损失。

　　图5. “黑狐”木马模块分工示意图

 

腾讯反病毒实验室近期捕获了“黑狐”木马的最新变种，这已经是该木马从2014年初首次发现以来的第三个大变种，其复杂度和传播速度远强于前。短期内已感染了近百万台电脑，席卷全国。

1、超强伪装：该木马常伪装成“正常”的软件，用户在打开该木马程序时，误以为是普通的正常程序。使用过程中，并无明显的异常，木马的主要文件是在运行后经过数轮的静默下载才最终安装并潜伏在电脑里。
2、扩散迅速：该木马通过各种恶意的新闻播报类、便签日历类等软件和各大下载站下载以及社交聊天软件文件分享等多样化渠道快速传播。
3、高度隐蔽：该木马使用了开机回写、启动删除技术，在电脑开机时，

由系统用木马文件替换了系统文件，在木马启动后，会用备份的系统文件替换掉木马文件，因此木马文件在系统关键位置存留时间短，隐蔽性强，绝大多数安全软件在电脑体检和木马扫描时不会扫描到木马文件及其启动项。
4、难以清除：由于该木马驻留在Winlogon.exe进程中，是windows用户登录程序。启动比安全软件早，而关闭也比安全软件迟。即便被扫描出来，也很难被彻底清除。 阅读全文>>

“黑狐”是一个典型的插件型远控木马，黑客可以随时通过命令下发恶意插件到被该木马入侵的电脑上。不同的恶意插件会有推广各种流氓软件、盗刷用户流量、窃取隐私资料等不同的行为，给用户带来财产和隐私上的严重损失。 阅读全文>>

敏锐的嗅觉配上反病毒实验室专家的周密分析，“黑狐”的复杂性让它能够轻松骗过众多杀软但却难逃管家的法眼。截止3月31日，黑狐木马的母体和子体在 VirusTotal上包括腾讯电脑管家在内只有三家报毒。目前，腾讯电脑管家已经独家推出针对“黑狐”的专杀工具，可对该木马进行完美截杀。
担心自己已经不小心中了“黑狐”圈套？不用怕，赶紧下载专杀工具进行闪电查杀，管家帮您一把病毒揪出病毒，快速清除完美修复。 阅读全文>>

PCSL第三方评测报告新鲜出炉：腾讯电脑管家是唯一能检测和清除的安全软件厂商

国内专业从事计算机反病毒软硬件测试的独立第三方咨询机构PCSL发布了2015年4月1日 “黑狐”病毒防护测试报告。评测结果显示，腾讯电脑管家是目前唯一能检测和完美清除的安全软件厂商。

PCSL简介：行业公认为信得过的独立测试机构

PCSL，全称PC安全实验室，成立于2008年3月，是一个致力于安全软件测试和相关测试标准研发的中立测评机构，并已加入国际反恶意 软件测试标准组织 AMTSO 和亚洲反病毒研究者协会 AVAR 成为独立会员。PCSL作为一家专业的计算机安全软硬件及IT软硬件的咨询测试公司，PCSL一直被行业公认为信得过的独立测试机构。

　　


       【北斗网络防护】电脑病毒防范措施：http://bbs.guanjia.qq.com/forum.phpl

　　可见黑狐对电脑的危害性极为严重，希望通过本文对黑狐病毒特效分析之后，对用户防护电脑有所帮助，大家做好防护黑狐措施是必不可少，如果用户电脑遭到 黑狐感染之后建议对电脑进行查杀，如果电脑没有重要数据建议给电脑进行重装，不用U盘不用光驱就可以轻松给系统进行安装。

　　【北斗网络教程】系统简单安装教程：http://u.diannaodian.com/jiaocheng/index.html