|
| backdoor.win32.singu.o 分析 |
| 来源:网络 时间:2006-5-31 |
|
病毒标签:
病毒名称: backdoor.win32.singu.o
中文名称: 黑洞2004
病毒类型: 后门
危害等级: 高
文件长度: 客户端大小 4.13 mb (backdoor.win32.singu.v ) 服务端大小 471kb ( backdoor.win32.singu.o )
感染系统: windows 9x以上的所有版本
编写语言: microsoft visual c++
病毒描述:
感染 backdoor.win32.singu.o( 黑洞 2004 客户端配置的服务端 ) ,会打开后门端口, backdoor.win32.singu.o( 服务端 ) 按反弹端口方式进行连接, 通过生成服务端时设定的 url , 主动连接到远程攻击者接受控制, 能穿透一般防火墙、渗透到内部网络。按主动连接型则等待客户端的主动连接。能够记录下用户语音、视频聊天等程序,可以窃取用户密码,记录用户电脑的一切键盘输入,包括中英文输入,直接威胁用户的隐私安全,并可以结束用户开启的任意程序, 是一种危险性较高的 木 马。
行为分析:
1 、 服务端运行后到系统,路径可能为 %system% , %windows% , %temp% 。
2 、 在注册表中添加下列启动项, hkey_local_machine\software\microsoft\windows\currentversion\run 或 hkey_local_machine\software\microsoft\windows\currentversion\temp 项目名 "111 ,键值“ server.exe ”,从而达到 随系统启动的目的。
3 、 在随机端口开设后门,等待攻击者远程连接。
4 、 若是以 dll 方式注入的版本,则加载到任意进程中,包括 "explorer.exe " , "ie 浏览器 " , "notepad.exe" 等系统进程中,隐蔽性极强。
|
|
|
|
|
