backdoor.win32.blackhole

backdoor.win32.blackhole,電腦病毒,該病毒運行後,衍生病毒檔案到系統目錄下,添加註冊表自動運行項以隨機引導病毒體。

基本介紹

  • 中文名:黑洞
  • 外文名:backdoor.win32.blackhole
  • 病毒類型:後門類
  • 公開範圍: 完全公開
病毒標籤,病毒描述,行為分析,清除方案,

病毒標籤

病毒名稱: Backdoor.Win32.BlackHole.2005.f
中文名稱: 黑洞
病毒類型: 後門類
檔案 MD5: F7D03831A80BF0AB75A550EE960D04DD
公開範圍: 完全公開
危害等級: 中等
檔案長度棕嫌體狼: 206,340 位元組
感染系統: Win98以上系統
開發工具: Borland Delphi 6.0 - 7.0
加殼類型: UPX 0.89.6 - 1.02 / 1.05 - 1.24 (Delphi) stub -> Markus & Laszlo
命名對照: 毒霸[Win32.Troj.Backdoor.f.206340]
Ewido[Backdoor.Win32.BlackHole.2005.a]

病毒描述

該病毒具有切斷網路功能,感染用戶可能被完全控制,進行上傳、下載等操洪精催作。病毒會監測用戶鍵盤輸櫃辨影凝入,而後輸出到%system32%\keylog.txt傳送出去。

行為分析

1、衍生下列副本與檔案
%system32%\ KeySpy.dll
%system32%\Keylog.txt
%WinDir%\2005.exe
%WinDir%\2005.cfg
2、新建註冊表鍵值
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Services\Black Hole2005 Professional\ImagePath
鍵值: 類型: REG_EXPAND_SZ 長度: 20 (0x14) 位元組
C:\WINDOWS\2005.exe.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\BlackHole2005
Professional\Description鍵值: 字元串: "Black Hole2005 Professional Version Service"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Black Hole2005 Professional\DisplayName鍵值: 字元串: "Black Hole2005 Professional Version"
3、連線下列伺服器地址202.108.36.145)
(202.108.15.128)
images202.108.36.145)
註:% System%是一個可變路徑。病毒通過查詢作業系統來決定當前System檔案整試設夾的位置。Windows2000/NT中默認的安裝路徑是艱煮婆C:\Winnt\System32,windows95/98/me中默認的安裝路徑是C:\Windows\System,windowsXP中默認的安裝路徑是C:\Windows\System32。

清除方案

手工清除請按照行說拜剃為分析刪除對應檔案,恢復相關係統設定。
(1) 使用“進程管理”關閉病毒進程
2005.exe
(2) 刪除病毒釋放檔案
%system32%\ KeySpy.dll
%system32%\Keylog.txt
%WinDir%\2005.exe
%WinDir%\2005.cfg
(3) 恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Black Hole2005 Professional\ImagePath
鍵料糠值: 類型: REG_EXPAND_SZ 長度: 20 (0x14) 位元組
C:\WINDOWS\2005.exe.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
\BlackHole2005Professional\Description鍵值: 字元串: "Black Hole2005 Professional Version Service"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Black Hole2005 Professional\DisplayName鍵值: 字元串: "Black Hole2005 Professional Version"

清除方案

手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1) 使用“進程管理”關閉病毒進程
2005.exe
(2) 刪除病毒釋放檔案
%system32%\ KeySpy.dll
%system32%\Keylog.txt
%WinDir%\2005.exe
%WinDir%\2005.cfg
(3) 恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Black Hole2005 Professional\ImagePath
鍵值: 類型: REG_EXPAND_SZ 長度: 20 (0x14) 位元組
C:\WINDOWS\2005.exe.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
\BlackHole2005Professional\Description鍵值: 字元串: "Black Hole2005 Professional Version Service"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Black Hole2005 Professional\DisplayName鍵值: 字元串: "Black Hole2005 Professional Version"

相關詞條

熱門詞條

聯絡我們