捕獲時間
2008-12-3
病毒摘要
該樣本是使用Delphi編寫的后門程序��,由微點主動防御軟件自動捕獲����,未加殼��,樣本文件長度為“364,032 字節”,圖標為“
”���,使用“exe”擴展名,通過“網頁木馬”����、“文件捆綁”等途徑植入用戶計算機��,病毒主要用于竊取用戶隱私和作為遠控后門使用����。
感染對象
Windows 2000/Windows XP/Windows 2003
傳播途徑
網頁木馬�����、文件捆綁
防范措施
已安裝使用微點主動防御軟件的用戶,無須任何設置�,微點主動防御將自動保護您的系統免受該病毒的入侵和破壞����。無論您是否已經升級到最新版本�����,微點主動防御都能夠有效清除該病毒��。如果您沒有將微點主動防御軟件升級到最新版,微點主動防御軟件在發現該病毒后將報警提示您發現“未知木馬”�,請直接選擇刪除處理(如圖1)��;
圖1 主動防御自動捕獲未知病毒(未升級)
如果您已經將微點主動防御軟件升級到最新版本,微點將報警提示您發現"Backdoor.Win32.BlackHole.vw”���,請直接選擇刪除(如圖2)。
圖2 升級后截獲已知病毒
對于未使用微點主動防御軟件的用戶����,微點反病毒專家建議:
1����、不要在不明站點下載非官方版本的軟件進行安裝���,避免病毒通過捆綁的方式進入您的系統�����。
2、盡快將您的殺毒軟件特征庫升級到最新版本進行查殺��,并開啟防火墻攔截網絡異常訪問���,如依然有異常情況請注意及時與專業的安全軟件廠商聯系獲取技術支持�。
3、開啟windows自動更新�����,及時打好漏洞補丁��。
病毒分析
該樣本被執行后��,復制自身至系統目錄“%SystemRoot%\System32”,并重命名為“brc_Server.exe”,并釋放程序配置文件“brc_Server.dat”。
修改注冊表項,實現自啟動�,相關注冊表鍵值如下:
| |
項:“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run”
鍵:“BlackHole Remote Control Services”
數據:“\"C:\\WINDOWS\\system32\\brc_Server.exe\" /service” |
|
完成后將以命令行方式���,加參數“/service”�����,啟動“brc_Server.exe”。
“brc_Server.exe”啟動后�,將聯網通過“http://www.naf**tech.com/ip.txt”讀取后門種植者所設置的IP地址和端口號進行反向連接�,連接成功后與黑客進行通訊�����,接受黑客的控制���,使被病毒感染主機倫為傀儡主機���,可使用如下后門功能進行遠程操作:進程管理����,獲取系統緩存密碼�,遠程注冊表操作,遠程重啟關機,開啟遠程TELNET,文件上傳下載,遠程圖形界面控制,開啟鍵盤記錄監聽,如果對方存在攝像頭則可以開啟攝像頭進行視頻監控����,抓取控制者屏幕���,可以錄制遠程的屏幕操作為影音文件���。
