Backdoor.Win32.Delf.axh

病毒名称： Backdoor.Win32.Delf.axh

中文名称： 黑洞

病毒类型： 后门类

文件 MD5： C68D098545C4E97DE35EFD2501FE0436

公开范围： 完全公开

危害等级： 5

文件长度： 加壳后 136,704 字节，脱壳后399,872 字节

感染系统： Win9X以上系统

开发工具： Borland Delphi 6.0 - 7.0

加壳类型： UPX 0.89.6 - 1.02 / 1.05 - 1.24 (Delphi) stub -> Markus & Laszlo

命名对照： BitDefender[Generic.Graybird.F4729A11]

病毒描述：

该病毒运行后，衍生病毒文件到系统程序目录下。添加注册表系统服务项以随机引导病毒体。自动连接某 ASP 页面，获得后门客户端 IP 。该病毒具有极强的远程控制功能，包括远程重启、监视桌面、开启 USB 摄像头、浏览系统所有文件、控制上传下载、通过麦克风捕获声音等。

行为分析：

1 、衍生下列副本与文件：

%System32% brc_Server.exe

2 、新建注册表键值：

HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesBRC_ServicesImagePath

Value: Type: REG_EXPAND_SZ Length: 46 (0x2e) bytes

%System32%rc_Server.exe" /service.

HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesBRC_ServicesDescription

Value: String: "BlackHole Remote Control Services"

HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesBRC_ServicesDisplayName

Value: String: "BlackHole Remote Control Services"

3 、访问下列 ASP 页面，获得后门客户端 IP 及其端口号：

(61.151.239.13)seal.5151j.com.cn /asp/getip.asp DstPort:80

4 、开放本机某端口连接服务端，等待受控：

LocalPort:1188 Server:58.5*.1*7.*2( 广西南宁市 电信 ) DstPort:3370

注： % System% 是一个可变路径。病毒通过查询操作系统来决定当前 System 文件夹的位置。 Windows2000/NT 中默认的安装路径是 C:WinntSystem32 ， windows95/98/me 中默认的安装路径是 C:WindowsSystem ， windowsXP 中默认的安装路径是 C:WindowsSystem32 。

--------------------------------------------------------------------------------

清除方案：

1 、 使用安天木马防线可彻底清除此病毒 ( 推荐 )

2 、 手工清除请按照行为分析删除对应文件，恢复相关系统设置。

(1) 使用安天木马防线结束下列进程：

brc_Server.exe

(2) 删除病毒添加的注册表项下所有键值：

HKEY_LOCAL_MACHINESYSTEMControlSet001

ServicesBRC_Services

(3) 重新启动计算机

(4) 删除病毒释放文件

%System32% brc_Server.exe