| 導購 | 订阅 | 在线投稿
分享
 
 
 

Win32.Troj.BlackHole.t

來源:互聯網  2008-08-14 22:50:20  評論

病毒名稱(中文):

病毒別名:

威脅級別:

★☆☆☆☆

病毒類型:

木馬程序

病毒長度:

484352

影響系統:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行爲:

這是一個被捆綁了黑客程序的軟件安裝程序,它在安裝軟件的過程中偷偷釋放一個後門

到機器上,黑客可以通過此後門控制被感染機。

1:放出後門

在軟件的安裝過程中,會釋放並運行一個病毒名爲"Win32.Hack.BlackHole.p.769024"、

文件名爲"Server.exe"的後門,使用戶機器被此後門感染。

2:後門分析:

A、拷貝文件

後門被運行後,會把自己拷貝到windows目錄下,命名爲win.com.cn.exe

並加入隱藏、系統、只讀三個文件屬性。

%Window%\win.com.cn.exe

B、注冊服務

後門會注冊一個名爲"iexplorer.exe"的服務,指向win.com.cn.exe

並設爲自動啓動,使後門能隨Windows啓動。

C、刪除自己

病毒會在Windows目錄下創建一個名爲"uninstal.bat"的批處理文件,在裏面寫入以下內容:

:try

del"[Server.exe的地址]"

ifexist"[Server.exe的地址]"gototry

del%0

exit

然後運行,刪除原來的後門。

D、注入IE

病毒會創建一個無窗口的InternetExplorer進程,把自己注入到該進程裏面運行,

之後主進程退出,使系統中沒有病毒的進程。之後注入到InternetExplorer的病毒

就開放端口供黑客連接,使用戶機器被黑客控制。

病毒名稱(中文): 病毒別名: 威脅級別: ★☆☆☆☆ 病毒類型: 木馬程序 病毒長度: 484352 影響系統: Win9xWinMeWinNTWin2000WinXPWin2003 病毒行爲: 這是一個被捆綁了黑客程序的軟件安裝程序,它在安裝軟件的過程中偷偷釋放一個後門 到機器上,黑客可以通過此後門控制被感染機。 1:放出後門 在軟件的安裝過程中,會釋放並運行一個病毒名爲"Win32.Hack.BlackHole.p.769024"、 文件名爲"Server.exe"的後門,使用戶機器被此後門感染。 2:後門分析: A、拷貝文件 後門被運行後,會把自己拷貝到windows目錄下,命名爲win.com.cn.exe 並加入隱藏、系統、只讀三個文件屬性。 %Window%\win.com.cn.exe B、注冊服務 後門會注冊一個名爲"iexplorer.exe"的服務,指向win.com.cn.exe 並設爲自動啓動,使後門能隨Windows啓動。 C、刪除自己 病毒會在Windows目錄下創建一個名爲"uninstal.bat"的批處理文件,在裏面寫入以下內容: :try del"[Server.exe的地址]" ifexist"[Server.exe的地址]"gototry del%0 exit 然後運行,刪除原來的後門。 D、注入IE 病毒會創建一個無窗口的InternetExplorer進程,把自己注入到該進程裏面運行, 之後主進程退出,使系統中沒有病毒的進程。之後注入到InternetExplorer的病毒 就開放端口供黑客連接,使用戶機器被黑客控制。
󰈣󰈤
王朝萬家燈火計劃
期待原創作者加盟
 
 
 
>>返回首頁<<
 
 
 
 
 熱帖排行
 
王朝網路微信公眾號
微信掃碼關註本站公眾號 wangchaonetcn
 
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有