一、病毒标签:
病毒名称:Backdoor.Win32.Singu.o
中文名称:黑洞2004
病毒类型:后门
危害等级:高
文件长度:客户端大小4.13 MB (Backdoor.Win32.Singu.v)
服务端大小471KB(Backdoor.Win32.Singu.o)
感染系统: Windows 9x以上的所有版本
编写语言: Microsoft Visual C++
二、病毒描述:
黑洞2004 (Backdoor.Win32.Singu.o)运行后会打开后门端口(端口号不确定),若服务端配置属自动上线型,则通过配置服务端时设定的URL,主动连接到远程攻击者并接受控制;若服务端配置属主动连接型,则等待远程攻击者的主动连接。服务端利用"反弹端口原理",能穿透一般防火墙、渗透到内部网络。
黑洞2004(Backdoor.Win32.Singu.o)能够记录用户语音、控制视频聊天等程序,窃取敏感信息,记录一切键盘输入,直接威胁用户的隐私安全,并可以结束用户开启的任意程序,是一种危险性较高的木马。
三、行为分析:
1、黑洞2004运行后,会拷贝服务端到系统,存在于以下路径%System%,%Windows%,%temp%。
2、修改启动项
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
或HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Temp
项目名"111,键值"server.exe",从而达到随系统启动的目的。
3、开设后门端口,等待攻击者远程连接。
4、若是以dll方式注入的版本,Backdoor.Win32.Singu.o可加载到任意进程中,如:"explorer.exe ","IE 浏览器,"notepad.exe" 等系统进程,隐蔽性极强。
四、清除方案:
1、使用安天木马防线可彻底清除此病毒(推荐)。
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置
木马防线:
木马防线是一款专业级反木马信息安全产品,具备已知木马查杀、未知木马检测、木马防火墙、管理工具、在线升级等功能,能够通过对驱动器、内存、敏感区域、特定目录的扫描,全面查杀隐藏在系统中的各类木马(Trojans)、后门(Backdoors)、蠕虫(Worms)、间谍软件(Spyware)、广告软件(Adware)等恶意程序。
该产品集成了智能未知木马检测引擎(SVE)和强大的木马防火墙,不但可以检测和清除电脑中存在的未知木马程序,还能够监控内存、查封指定IP地址和端口,有效拦截诸如"冲击波"、"震荡波"等漏洞攻击病毒,为系统提供多层保护。
另外,木马防线还提供了IE修复、共享管理、任务管理、进程管理、端口进程关联、网络连接状态等众多专业工具,最大限度地满足专业人士的安全需要。