微点交流论坛 - 病毒快报 - 后门程序Backdoor.Win32.BlackHole.iu

» 游客: 注册 | 登录 | 帮助

微点交流论坛 » 病毒快报 » 后门程序Backdoor.Win32.BlackHole.iu

pioneer
超级版主

积分 4563
发帖 4545
注册 2007-7-16
来自 BJ

#1 后门程序Backdoor.Win32.BlackHole.iu

病毒名称

Backdoor.Win32.BlackHole.iu

捕获时间

2008-03-02

病毒症状

　　该程序是使用Delphi编写的后门程序，版本号为黑洞2006，由微点主动防御软件自动捕获，采用五层NsPacK和一层ASProtect加壳方式试图躲避特征码扫描，加壳后长度为220,782字节，图标为Windows默认文件夹图标，病毒扩展名为exe，该后门被捆绑在网上广为流传的“艳照门”相关部分主角的图片压缩包中，通过RAR自解压脚本在用户双击压缩文件时被自动激活。

病毒分析

　　该样本程序被激活后，拷贝自身到%systemroot%\system32目录下，重命名为windosqwpy.exe；调用SCM写注册表将病毒拷贝windosqwpy.exe注册成名为windosqwpy的服务，并使用StartServiceA函数启动该服务；服务启动后通过API函数InternetOpenUrlA、InternetReadFile从网络空间上读取黑客所设置的IP地址，向该IP地址发送请求数据包，当建立连接后会根据不同的命令执行相应的动作，成为黑客的傀儡主机，可使用如下后门功能进行远程操作：进程管理，获取系统缓存密码，远程注册表操作，远程重启关机，开启远程TELNET，文件上传下载，远程图形界面控制，开启键盘记录监听，如果对方存在摄像头则可以开启摄像头进行视频监控，抓取控制者屏幕，可以录制远程的屏幕操作为影音文件。
　　
感染对象

Windows 2000/Windows XP/Windows 2003

传播途径

文件捆绑

安全提示

　　已安装使用微点主动防御软件的用户，无须任何设置，微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本，微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版，微点主动防御软件在发现该病毒后将报警提示您“发现未知木马”，请直接选择删除处理（如图1）；

　　如果您已经将微点主动防御软件升级到最新版本，微点将报警提示您发现“Backdoor.Win32.BlackHole.iu”，请直接选择删除（如图2）。

　　对于未使用微点主动防御软件的用户，微点反病毒专家建议：
1、不要在不明站点下载非官方版本的软件进行安装，避免病毒通过捆绑的方式进入您的系统。
2、尽快将您的杀毒软件特征库升级到最新版本进行查杀，并开启防火墙拦截网络异常访问，如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。
3、开启windows自动更新，及时打好漏洞补丁。

[ Last edited by Legend on 2008-3-4 at 01:00 ]

※文章所有权归【pioneer】与【东方微点论坛】共同所有，转载请注明出处！※

2008-3-2 19:00

pioneer
超级版主

积分 4563
发帖 4545
注册 2007-7-16
来自 BJ

#2

技术细节

病毒修改注册表项：
项：HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\windosqwpy
键值：Description
指向数据：为您的QWPY驱动适配器提供自动配置

项：HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\windosqwpy
键值：DisplayName
指向数据：windosqwpy

项：HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\windosqwpy
键值：ImagePath
指向数据：%systemroot%\system32\windosqwpy.exe /service

项：HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\windosqwpy
键值：Start
指向数据：02

※文章所有权归【pioneer】与【东方微点论坛】共同所有，转载请注明出处！※

2008-3-2 19:02

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号