Backdoor.Win32.Singu.o(黑洞2004)分析

王朝system·作者佚名  2008-05-19
窄屏简体版  字體: |||超大  

一、病毒标签:

病毒名称:Backdoor.Win32.Singu.o

中文名称:黑洞2004

病毒类型:后门

危害等级:高

文件长度:客户端大小4.13 MB (Backdoor.Win32.Singu.v)

服务端大小471KB(Backdoor.Win32.Singu.o)

感染系统: Windows 9x以上的所有版本

编写语言: Microsoft Visual C++

二、病毒描述:

黑洞2004 (Backdoor.Win32.Singu.o)运行后会打开后门端口(端口号不确定),若服务端配置属自动上线型,则通过配置服务端时设定的URL,主动连接到远程攻击者并接受控制;若服务端配置属主动连接型,则等待远程攻击者的主动连接。服务端利用"反弹端口原理",能穿透一般防火墙、渗透到内部网络。

黑洞2004(Backdoor.Win32.Singu.o)能够记录用户语音、控制视频聊天等程序,窃取敏感信息,记录一切键盘输入,直接威胁用户的隐私安全,并可以结束用户开启的任意程序,是一种危险性较高的木马。

三、行为分析:

1、黑洞2004运行后,会拷贝服务端到系统,存在于以下路径%System%,%Windows%,%temp%。

2、修改启动项

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run

或HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Temp

项目名"111,键值"server.exe",从而达到随系统启动的目的。

3、开设后门端口,等待攻击者远程连接。

4、若是以dll方式注入的版本,Backdoor.Win32.Singu.o可加载到任意进程中,如:"explorer.exe ","IE 浏览器,"notepad.exe" 等系统进程,隐蔽性极强。

四、清除方案:

1、使用安天木马防线可彻底清除此病毒(推荐)。

2、手工清除请按照行为分析删除对应文件,恢复相关系统设置

木马防线:

木马防线是一款专业级反木马信息安全产品,具备已知木马查杀、未知木马检测、木马防火墙、管理工具、在线升级等功能,能够通过对驱动器、内存、敏感区域、特定目录的扫描,全面查杀隐藏在系统中的各类木马(Trojans)、后门(Backdoors)、蠕虫(Worms)、间谍软件(Spyware)、广告软件(Adware)等恶意程序。

该产品集成了智能未知木马检测引擎(SVE)和强大的木马防火墙,不但可以检测和清除电脑中存在的未知木马程序,还能够监控内存、查封指定IP地址和端口,有效拦截诸如"冲击波"、"震荡波"等漏洞攻击病毒,为系统提供多层保护。

另外,木马防线还提供了IE修复、共享管理、任务管理、进程管理、端口进程关联、网络连接状态等众多专业工具,最大限度地满足专业人士的安全需要。

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
 
© 2005- 王朝網路 版權所有 導航