|
| Backdoor.Win32.BlackHole.cu分析和清除解决方案 |
| 作者 网络vs浪子 查看 77 发表时间 2008/6/2 11:16 【论坛浏览】 |
|
病毒名称: Backdoor.Win32.BlackHole.cutlzu 病毒类型:后门类tlzu 文件 MD5: F2F20D278B21DD4B0D96F35D8293D320tlzu 公开范围: 完全公开tlzu 危害等级: 4tlzu 文件长度: 217,088 字节tlzu 感染系统: Windows98以上版本tlzu 加壳类型: UPX 0.89.6 - 1.02 / 1.05 - 1.24tlzu tlzu 二、病毒描述:tlzu tlzu 该病毒后门类,病毒运行后复制自身到系统目录,衍生病毒文件,并删除自身。创建服务,并以服务的方式达到随机启动的目的。该病毒具有自动上线的功能,一旦连接成功则远程控制端可以对用户电脑进行上传下载文件,注册表操作,服务操作,屏幕监控,摄像头抓图等远程控制。tlzu tlzu 三、行为分析:tlzu tlzu 本地行为:tlzu tlzu 1、 文件运行后会衍生以下文件tlzu %WinDir%\eph.cfg 2字节tlzu %WinDir%\eph.exe 217,088字节tlzu tlzu 2、修改注册表Internet Settings中的默认路径,由当前用户文件夹改为LocalService文件夹tlzu tlzu 3、创建服务,并以服务的方式达到随机启动的目的:tlzu 服务名称:Black Hole2005 Professionaltlzu 显示名称:Black Hole2005 Professional Versiontlzu 描述语言:Black Hole2005 Professional Version Servicetlzu 文件路径:c:\WINDOWS\eph.exetlzu 启动方式:自动tlzu tlzu 4、连接网络获取远程控制端IP地址,并主动连接该IP地址:tlzu wahm.2169.net(222.89.130.4:80) 获取远程控制端地址: 59.61.211.19:2008tlzu tlzu 5、通过恶意网站、其它病毒/木马下载传播;该病毒可以对用户电脑进行远程控制tlzu tlzu tlzu 注释:tlzu %Windir% WINDODWS所在目录tlzu %DriveLetter% 逻辑驱动器根目录tlzu %ProgramFiles% 系统程序默认安装目录tlzu %HomeDrive% 当前启动系统所在分区tlzu %Documents and Settings% 当前用户文档根目录tlzu %Temp% 当前用户TEMP缓存变量;路径为:tlzu %Documents and Settings%\当前用户\Local Settings\Temptlzu %System32% 是一个可变路径;tlzu 病毒通过查询操作系统来决定当前System32文件夹的位置;tlzu Windows2000/NT中默认的安装路径是 C:\Winnt\System32;tlzu Windows95/98/Me中默认的安装路径是 C:\Windows\System;tlzu WindowsXP中默认的安装路径是 C:\Windows\System32。tlzu tlzu tlzu 四、 清除方案:tlzu 1、使用安天木马防线可彻底清除此病毒(推荐),请到安天网站下载:www.antiy.com。tlzu 2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。推荐使用ATool(安天安全管理工具),ATool下载地址:www.antiy.com或http://www.antiy.com/download/index.htm。tlzu (1) 使用安天木马防线或ATool中的“进程管理”关闭病毒进程eph.exetlzu tlzu (2) 强行删除病毒文件tlzu %WinDir%\eph.cfg 2字节tlzu %WinDir%\eph.exe 217,088字节tlzu tlzu (3)将更改为 LocalService的注册表项恢复为Internet Settings中的默认路径tlzu tlzu (4)禁用服务Black Hole2005 Professionaltlzu tlzu tlzu TAG: tlzu 电脑tlzu 方案tlzu 文件tlzu 摄像头 |
| 序号 | 评论者 | 共有评论 0 【论坛浏览】 【发表评论】 | 评论时间 |
| 当前无任何评论,或评论已被禁止显示 | |||
共有评论数 0 每页显示 10
|
|||
