病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
484352
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个被捆绑了黑客程序的软件安装程序,它在安装软件的过程中偷偷释放一个后门
到机器上,黑客可以通过此后门控制被感染机。
1:放出后门
在软件的安装过程中,会释放并运行一个病毒名为"Win32.Hack.BlackHole.p.769024"、
文件名为"Server.exe"的后门,使用户机器被此后门感染。
2:后门分析:
A、拷贝文件
后门被运行后,会把自己拷贝到windows目录下,命名为win.com.cn.exe
并加入隐藏、系统、只读三个文件属性。
%Window%\win.com.cn.exe
B、注册服务
后门会注册一个名为"iexplorer.exe"的服务,指向win.com.cn.exe
并设为自动启动,使后门能随Windows启动。
C、删除自己
病毒会在Windows目录下创建一个名为"uninstal.bat"的批处理文件,在里面写入以下内容:
:try
del"[Server.exe的地址]"
ifexist"[Server.exe的地址]"gototry
del%0
exit
然后运行,删除原来的后门。
D、注入IE
病毒会创建一个无窗口的InternetExplorer进程,把自己注入到该进程里面运行,
之后主进程退出,使系统中没有病毒的进程。之后注入到InternetExplorer的病毒
就开放端口供黑客连接,使用户机器被黑客控制。
