Backdoor.Win32.BlackHole.2005.f
病毒名称: Backdoor.Win32.BlackHole.2005.f
中文名称: 黑洞
病毒类型: 后门类
文件 MD5: F7D03831A80BF0AB75A550EE960D04DD
公开范围: 完全公开
危害等级: 中等
文件长度: 206,340 字节
感染系统: Win98以上系统
开发工具: Borland Delphi 6.0 - 7.0
加壳类型:UPX 0.89.6 - 1.02 / 1.05 - 1.24 (Delphi) stub -> Markus & Laszlo
命名对照: 驱逐舰[Trojan.PWS.Kpo]
Ewido[Backdoor.Win32.BlackHole.2005.a]
病毒描述:
该病毒运行后,衍生病毒文件到系统目录下,添加注册表自动运行项以随机引导病毒体。该病毒具有切断网络功能,感染用户可能被完全控制,进行上传、下载等操作。病毒会监测用户键盘输入,而后输出到%system32%keylog.txt发送出去。
行为分析:
1、衍生下列副本与文件
%system32% KeySpy.dll
%system32%Keylog.txt
%WinDir%2005.exe
%WinDir%2005.cfg
2、新建注册表键值:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSet
ServicesBlack Hole2005 ProfessionalImagePath
键值: 类型: REG_EXPAND_SZ 长度: 20 (0x14) 字节
C:WINDOWS2005.exe.
HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesBlackHole2005
ProfessionalDescription键值: 字符串: "Black Hole2005 Professional Version Service"
HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesBlack Hole2005 ProfessionalDisplayName键值: 字符串: "Black Hole2005 Professional Version"
3、连接下列服务器地址:
7762753yeah.net(202.108.36.145)
adclient.163.com(202.108.15.128)
images.163.com(202.108.36.145)
注:% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:WinntSystem32,windows95/98/me中默认的安装路径是C:WindowsSystem,windowsXP中默认的安装路径是C:WindowsSystem32。
--------------------------------------------------------------------------------
清除方案:
1、使用安天木马防线可彻底清除此病毒(推荐)
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用安天木马防线“进程管理”关闭病毒进程
2005.exe
(2) 删除病毒释放文件
%system32% KeySpy.dll
%system32%Keylog.txt
%WinDir%2005.exe
%WinDir%2005.cfg
(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesBlack Hole2005 ProfessionalImagePath
键值: 类型: REG_EXPAND_SZ 长度: 20 (0x14) 字节
C:WINDOWS2005.exe.
HKEY_LOCAL_MACHINESYSTEMControlSet001Services
BlackHole2005ProfessionalDescription键值: 字符串: "Black Hole2005 Professional Version Service"
HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesBlack Hole2005 ProfessionalDisplayName键值: 字符串: "Black Hole2005 Professional Version"