| 词条 | Backdoor.Win32.Delf.axh |
| 释义 | 基本信息病毒名称: Backdoor.Win32.Delf.axh 中文名称: 黑洞 病毒类型: 后门类 文件 MD5: C68D098545C4E97DE35EFD2501FE0436 公开范围: 完全公开 危害等级: 5 文件长度: 加壳后 136,704 字节,脱壳后399,872 字节 感染系统: Win9X以上系统 开发工具: Borland Delphi 6.0 - 7.0 加壳类型: UPX 0.89.6 - 1.02 / 1.05 - 1.24 (Delphi) stub -> Markus & Laszlo 命名对照: BitDefender[Generic.Graybird.F4729A11] 病毒描述该病毒运行后,衍生病毒文件到系统程序目录下。添加注册表系统服务项以随机引导病毒体。自动连接某 ASP 页面,获得后门客户端 IP 。该病毒具有极强的远程控制功能,包括远程重启、监视桌面、开启 USB 摄像头、浏览系统所有文件、控制上传下载、通过麦克风捕获声音等。 行为分析: 1 、衍生下列副本与文件: %System32%\\ brc_Server.exe 2 、新建注册表键值: HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\BRC_Services\\ImagePath Value: Type: REG_EXPAND_SZ Length: 46 (0x2e) bytes %\\System32%\\brc_Server.exe" /service. HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\BRC_Services\\Description Value: String: "BlackHole Remote Control Services" HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\BRC_Services\\DisplayName Value: String: "BlackHole Remote Control Services" 3 、访问下列 ASP 页面,获得后门客户端 IP 及其端口号: (61.151.239.13)seal.5151j.com.cn /asp/getip.asp DstPort:80 4 、开放本机某端口连接服务端,等待受控: LocalPort:1188 Server:58.5*.1*7.*2( 广西南宁市 电信 ) DstPort:3370 注: % System% 是一个可变路径。病毒通过查询操作系统来决定当前 System 文件夹的位置。 Windows2000/NT 中默认的安装路径是 C:\\Winnt\\System32 , windows95/98/me 中默认的安装路径是 C:\\Windows\\System , windowsXP 中默认的安装路径是 C:\\Windows\\System32 。 -------------------------------------------------------------------------------- 清除方案1 、 使用安天木马防线可彻底清除此病毒 ( 推荐 ) 2 、 手工清除请按照行为分析删除对应文件,恢复相关系统设置。 (1) 使用安天木马防线结束下列进程: brc_Server.exe (2) 删除病毒添加的注册表项下所有键值: HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\ Services\\BRC_Services\\ (3) 重新启动计算机 (4) 删除病毒释放文件 %System32%\\ brc_Server.exe |
| 随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。