“肥兔”和“黑狐”:不得不说的一段关系

2015-07-20 来源:未知 作者:腾讯电脑管家
【文章摘要】从多方面来看,黑狐和肥兔木马属于同一团队开发,从爆发的时间节点看,两者的关系可能是替代关系(黑狐活跃时间:2015年3月-5月,肥兔活跃时间:2015年6月-7月)。
从多方面来看,“黑狐”和“肥兔”木马属于同一团队开发,从爆发的时间节点看,两者的关系可能是替代关系(黑狐活跃时间:2015年3月-5月,肥兔活跃时间:2015年6月-7月)。两个木马之间的相似性和差异性总结如下:

1“肥兔”与“黑狐”的相似点

“肥兔”木马与“黑狐”木马有着诸多的相似之处:如都是通过替换系统cscdll.dll或sens.dll文件来实现长期驻留于系统中;推广相同的流氓软件;最初下载的病毒体以相同的方式隐藏在图片的尾部;而本机信息上报、木马作案手段上有着极大的相似性。在编译环境方面,通过对比管家发现“黑狐”木马的所有模块都使用delphi编写,而“肥兔”的主功能模块已采用VS编写,非主功能模块还是使用delphi编写。

2、“肥兔”比“黑狐”危害更大

“肥兔”实际上是由“黑狐”变种而来,但与老“黑狐”相比,它有着更大的危害性。
 
首先,“黑狐”木马会在系统关机的时候将系统文件替换成木马文件,而在开机启动后将系统文件还原回去,而“肥兔”木马从植入其就用木马文件替换系统文件,也未对系统文件做任何备份,因此对系统的稳定性造成极大的影响,容易导致系统蓝屏、死机等。
 
其次,“黑狐”木马加载驱动只为隐藏自身不被发现,未对系统进行攻击;而“肥兔”木马在驱动中劫持浏览器进程启动实现锁主页,同时还会干掉系统安装的杀毒软件。因此对于用户计算机来说,“肥兔”有着更强的破坏性。
 
 

电脑管家 V16

全新上线 更轻更快