黑狐

該木馬是一個黑客遠程控制的後門，並且極其狡猾，變種多、對抗多、隱蔽性強，一般殺毒軟件難以查殺，故將其命名為“黑狐”。目前，騰訊電腦管家已經推出針對“黑狐”的專殺工具，可對該木馬進行完美截殺。 ^[1-2] 

該木馬與正常的軟件“混編”，用户在打開該木馬程序時，誤以為是正常的程序。由於打開過程中，沒有明顯的異常，且木馬的主要文件是在運行後經過數輪的下載才安裝到用户機器中，在原始樣本中只含有少量代碼，通過文件體積等完全無法看出。

使用惡意新聞簡單報、惡意便籤等各種傳播推廣渠道迅速推開，在很短的時間內迅速感染近百萬台電腦。當安全廠商監控到該木馬廣度過大後，會進行人工分析，而人工分析地不徹底，就會導致木馬被設置為信任而不報毒。截止3月31日，黑狐木馬的母體和子體在VirusTotal上包括騰訊電腦管家在內只有三家報毒。

該木馬使用了開機回寫、啓動刪除、驅動隱藏等技術，在電腦開機時，由系統用木馬文件替換系統文件，在木馬啓動後，再用備份的系統文件替換掉木馬文件，因此木馬文件在系統關鍵位置存留的時間很短，且使用了rootkit技術，隱蔽性很強，絕大多數安全軟件在電腦體檢和木馬掃描時不會掃描到木馬文件及其啓動項。

由於該木馬駐留在Winlogon.exe進程中，該進程是windows用户登錄程序，啓動地比安全軟件早，而關閉地比安全軟件遲。且在內核中含有rootkit保護驅動，即便被掃描出來，也很難被徹底清除。 ^[3] 

該木馬是一個典型的插件型遠控木馬，控制者隨時可以通過命令下發插件，而插件可以由控制者任意定製。當前發現的插件主要是進行流氓推廣，但只要控制者想做，隨時可以下發盜號插件、監控插件、竊密插件等可能給用户財產、個人隱私造成嚴重損失。 ^[3] 

“黑狐”的代碼會與正常軟件混合編寫，被用户當成正常軟件下載。即便運行程序之後也看不出任何中毒端倪，電腦沒有明顯異常，可是該木馬卻通過後台偷偷下載其餘代碼，暗中“成長”。 ^{[1]  [4-5]}