中文名称: 黑洞2004
病毒类型: 后门
危害等级: 高
文件长度: 客户端大小 4.13 MB (Backdoor.Win32.Singu.v ) 服务端大小 471KB ( Backdoor.Win32.Singu.o )
感染系统: Windows 9x以上的所有版本
编写语言: Microsoft Visual C++
病毒相关描述:
感染 Backdoor.Win32.Singu.o( 黑洞 2004 客户端配置的服务端 ) ,会打开后门端口, Backdoor.Win32.Singu.o( 服务端 ) 按反弹端口方式进行连接, 通过生成服务端时设定的 URL , 主动连接到远程攻击者接受控制, 能穿透一般防火墙、渗透到内部网络。按主动连接型则等待客户端的主动连接。能够记录下用户语音、视频聊天等程序,可以窃取用户密码,记录用户电脑的一切键盘输入,包括中英文输入,直接威胁用户的隐私安全,并可以结束用户开启的任意程序, 是一种危险性较高的 木 马。
病毒行为分析:
1 、 服务端运行后到系统,路径可能为 %System% , %Windows% , %temp% 。
2 、 在注册表中添加下列启动项, HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 或 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Temp 项目名 "111 ,键值“ server.exe ”,从而达到 随系统启动的目的。
3 、 在随机端口开设后门,等待攻击者远程连接。
4 、 若是以 dll 方式注入的版本,则加载到任意进程中,包括 "explorer.exe " , "IE 浏览器 " , "notepad.exe" 等系统进程中,隐蔽性极强。
