点击上面的蓝色字 即可免费订阅！

微信名 （微信号：请填写您的微信号）

“

一、伪装性好：

该木马与正常的软件“混编”，用户在打开该木马程序时，误以为是正常的程序。由于打开过程中，没有明显的异常，且木马的主要文件是在运行后经过数轮的下载才安装到用户机器中，在原始样本中只含有少量代码，通过文件体积等完全无法看出。

（运行后的木马界面）

（木马的下载流程图）

二、传播迅速：

使用恶意新闻简单报、恶意便签等各种传播推广渠道迅速推开，在很短的时间内迅速感染近百万台电脑。当安全厂商监控到该木马广度过大后，会进行人工分析，而人工分析地不彻底，就会导致木马被设置为信任而不报毒。截止3月31日，黑狐木马的母体和子体在VirusTotal上包括腾讯电脑管家在内只有三家报毒。

（截至目前，大部分安全厂商不报毒）

三、隐蔽性强：

该木马使用了开机回写、启动删除、驱动隐藏等技术，在电脑开机时，由系统用木马文件替换系统文件，在木马启动后，再用备份的系统文件替换掉木马文件，因此木马文件在系统关键位置存留的时间很短，且使用了rootkit技术，隐蔽性很强，绝大多数安全软件在电脑体检和木马扫描时不会扫描到木马文件及其启动项。

（使用注册表PendingFileRenameOperations方式实现自启动）

四、难以清除：

由于该木马驻留在Winlogon.exe进程中，该进程是windows用户登录程序，启动地比安全软件早，而关闭地比安全软件迟。且在内核中含有rootkit保护驱动，即便被扫描出来，也很难被彻底清除。

五、危害严重：

该木马是一个典型的插件型远控木马，控制者随时可以通过命令下发插件，而插件可以由控制者任意定制。当前发现的插件主要是进行流氓推广，但只要控制者想做，随时可以下发盗号插件、监控插件、窃密插件等可能给用户财产、个人隐私造成严重损失。

（"黑狐"木马模块分工示意图）

目前电脑管家已独家查杀！！

（电脑管家独家查杀）