科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道Backdoor.Win32.BlackHole.cu分析与清除

Backdoor.Win32.BlackHole.cu分析与清除

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

该病毒后门类,病毒运行后复制自身到系统目录,衍生病毒文件,并删除自身。创建服务,并以服务的方式达到随机启动的目的。该病毒具有自动上线的功能,一旦连接成功则远程控制端可以对用户电脑进行上传下载文件,注册表操作,服务操作,屏幕监控,摄像头抓图等远程控制。

作者:论坛整理 来源:zdnet网络安全 2008年1月8日

关键字: 病毒查杀 病毒 病毒防范

  • 评论
  • 分享微博
  • 分享邮件
 一、病毒标签:

    病毒名称: Backdoor.Win32.BlackHole.cu

    病毒类型:后门类

    文件 MD5: F2F20D278B21DD4B0D96F35D8293D320

    公开范围: 完全公开

    危害等级: 4

    文件长度: 217,088 字节

    感染系统: Windows98以上版本

    加壳类型: UPX 0.89.6 - 1.02 / 1.05 - 1.24

    二、病毒描述:

    该病毒后门类,病毒运行后复制自身到系统目录,衍生病毒文件,并删除自身。创建服务,并以服务的方式达到随机启动的目的。该病毒具有自动上线的功能,一旦连接成功则远程控制端可以对用户电脑进行上传下载文件,注册表操作,服务操作,屏幕监控,摄像头抓图等远程控制。

    三、行为分析:

    本地行为:

    1、 文件运行后会衍生以下文件

    %WinDir%\eph.cfg                        2字节

    %WinDir%\eph.exe                        217,088字节

    2、修改注册表Internet Settings中的默认路径,由当前用户文件夹改为LocalService文件夹

    3、创建服务,并以服务的方式达到随机启动的目的:

    服务名称:Black Hole2005 Professional   

    显示名称:Black Hole2005 Professional Version

    描述语言:Black Hole2005 Professional Version Service

    文件路径:c:\WINDOWS\eph.exe启动方式:自动

    4、连接网络获取远程控制端IP地址,并主动连接该IP地址:

    wahm.2169.net(222.89.130.4:80)  获取远程控制端地址:  59.61.211.19:2008

    5、通过恶意网站、其它病毒/木马下载传播;该病毒可以对用户电脑进行远程控制

    注释:

    %Windir%                      WINDODWS所在目录

    %DriveLetter%                逻辑驱动器根目录

    %ProgramFiles%                系统程序默认安装目录

    %HomeDrive%                  当前启动系统所在分区

    %Documents and Settings%    当前用户文档根目录

    %Temp%                        当前用户TEMP缓存变量;路径为:

    %Documents and Settings%\当前用户\Local Settings\Temp

    %System32%                    是一个可变路径;

    病毒通过查询操作系统来决定当前System32文件夹的位置;

    Windows2000/NT中默认的安装路径是 C:\Winnt\System32;

    Windows95/98/Me中默认的安装路径是 C:\Windows\System;

    WindowsXP中默认的安装路径是 C:\Windows\System32.

    四、 清除方案:

    1、使用安天木马防线可彻底清除此病毒(推荐),请到安天网站下载:www.antiy.com .

    2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。推荐使用ATool(安天安全管理工具),ATool下载地址: www.antiy.comhttp://www.antiy.com/download/index.htm .

    (1) 使用安天木马防线或ATool中的“进程管理”关闭病毒进程eph.exe

    (2) 强行删除病毒文件

    %WinDir%\eph.cfg                        2字节

    %WinDir%\eph.exe                        217,088字节

    (3)将更改为 LocalService的注册表项恢复为Internet Settings中的默认路径

    (4)禁用服务Black Hole2005 Professional

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章