近日，AVG中国病毒实验室发现一类为了躲过杀毒软件主动防御，利用正常程序加载和执行恶意代码的木马程序正在大规模爆发。这种木马由两部分组成：正常的程序加恶意程序，正常程序被利用后，恶意代码即可被加载和执行。AVG实验室将该木马命名为“白加黑”恶意程序。

下面这款木马程序就是采用此种方式执行。下图是该木马的WinMain函数，看起来虽然是很简单，但是在Fn_ReleaseVirusFile这个函数中却别有洞天。

该木马通过申请内存，然后将主要代码拷贝到其中并执行。

这段代码实现的功能相当复杂，会根据程序启动时的参数执行不同流程，实现不同的功能。让我们看看它究竟复杂在哪：

1. 该木马首次执行时没有参数，会在system32目录下释放NvSmart.exe，NvSmartMax.dll和Boot.ldr这三个文件。NvSmart.exe为正常文件(就是我们所说的白)，有合法的数字签名;NvSmartMax.dll恶意文件(就是我们所说的黑);Boot.ldr为一段shellcode。然后通过com方式创建并启动服务。

2. 服务启动后，NvSmart.exe得到执行并通过导入表加载NvSmartMax.dll，NvSmartMax.dll会在其dllmain函数中修改NvSmart.exe的入口代码，转到NvSmartMax.dll中的代码，然后读取boot.ldr中的代码到内存中并执行。

3. 当启动参数为“200 0”时，该木马会启动svchost.exe进程，写入恶意代码，修改程序入口代码，跳转到恶意代码执行。

4. 当参数为”k”时，该木马会加载多种插件，包括keylogger(键盘记录)模块、远程控制模块、木马隐藏模块等等。

5. AVG通过对比写入的代码，发现该木马所有进程间的注入代码都是Boot.ldr文件中保存的二进制代码，只是通过进程启动时的参数来控制程序的流程，以实现不同的功能。

另外，该木马可能正处于测试阶段，因为在代码出现了如下字符串：

AVG提醒您，一定要注意防范此类恶意程序，一旦中招，就会对您造成不必要的损失。防范此类恶意程序，可安装AVG杀毒软件，并及时更新至最新版本。已经安装AVG的用户可以放心使用您的电脑。