backdoor.win32.blackhole

病毒標籤

病毒名稱： Backdoor.Win32.BlackHole.2005.f

中文名稱：黑洞

病毒類型：後門類

檔案 MD5： F7D03831A80BF0AB75A550EE960D04DD

公開範圍：完全公開

危害等級：中等

檔案長度棕嫌體狼： 206,340 位元組

感染系統： Win98以上系統

開發工具： Borland Delphi 6.0 - 7.0

加殼類型:　UPX 0.89.6 - 1.02 / 1.05 - 1.24 (Delphi) stub -> Markus & Laszlo

命名對照：毒霸[Win32.Troj.Backdoor.f.206340]

Ewido[Backdoor.Win32.BlackHole.2005.a]

病毒描述

該病毒具有切斷網路功能，感染用戶可能被完全控制，進行上傳、下載等操洪精催作。病毒會監測用戶鍵盤輸櫃辨影凝入，而後輸出到%system32%\keylog.txt傳送出去。

行為分析

1、衍生下列副本與檔案

%system32%\ KeySpy.dll

%system32%\Keylog.txt

%WinDir%\2005.exe

%WinDir%\2005.cfg

2、新建註冊表鍵值：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet

\Services\Black Hole2005 Professional\ImagePath

鍵值: 類型: REG_EXPAND_SZ 長度: 20 (0x14) 位元組

C:\WINDOWS\2005.exe.

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\BlackHole2005

Professional\Description鍵值: 字元串: "Black Hole2005 Professional Version Service"

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Black Hole2005 Professional\DisplayName鍵值: 字元串: "Black Hole2005 Professional Version"

3、連線下列伺服器地址202.108.36.145)

(202.108.15.128)

images202.108.36.145)

註：% System%是一個可變路徑。病毒通過查詢作業系統來決定當前System檔案整試設夾的位置。Windows2000/NT中默認的安裝路徑是艱煮婆C:\Winnt\System32，windows95/98/me中默認的安裝路徑是C:\Windows\System，windowsXP中默認的安裝路徑是C:\Windows\System32。

清除方案

手工清除請按照行說拜剃為分析刪除對應檔案，恢復相關係統設定。

(1) 使用“進程管理”關閉病毒進程

2005.exe

(2) 刪除病毒釋放檔案

%system32%\ KeySpy.dll

%system32%\Keylog.txt

%WinDir%\2005.exe

%WinDir%\2005.cfg

(3) 恢復病毒修改的註冊表項目，刪除病毒添加的註冊表項

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Black Hole2005 Professional\ImagePath

鍵料糠值: 類型: REG_EXPAND_SZ 長度: 20 (0x14) 位元組

C:\WINDOWS\2005.exe.

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services

\BlackHole2005Professional\Description鍵值: 字元串: "Black Hole2005 Professional Version Service"

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Black Hole2005 Professional\DisplayName鍵值: 字元串: "Black Hole2005 Professional Version"

backdoor.win32.blackhole

基本介紹

病毒標籤

病毒描述

行為分析

清除方案

清除方案

相關詞條

熱門詞條