特洛伊木马病毒“黑洞”分析报告

　　江民公布"黑洞"病毒技术分析报告

　　病毒名称："黑洞"(Backdoor/BlackHole.2004)

　　病毒类型：特洛伊 木马

　　 病毒大小：可变

　　传播方式：网络

　　2004年8月17日，江民反病毒中心率先截获"黑洞"病毒(Backdoor/BlackHole.2004)。

　　该病毒从某种意义上可以说是前段时间闹得很凶的"蜜蜂大盗"的升级版，不但拥有"蜜蜂大盗"所具有的一切功能，包括窃取几乎所有密码，自动打开染毒者的摄像头，进行远程监控、远程摄像、中止 防火墙 等，而且还增加了通过麦克风远程捕获用户的声音的能力，这就给用户的隐私保护带来了更大的危险。

　　具体技术特征如下：

　　1. 在感染计算机上释放下列文件：

　　病毒运行后，将创建下列文件：

　　%WinDir%\server.exe, 207982字节

　　2.在 注册表 中添加下列启动项：

　　[HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft \Windows\CurrentVersion\Run]

　　"111" = %WinDir%\server.exe

　　这样，在Windows启动时，病毒就可以自动执行。

　　病毒具体危害如下：

　　1. 密码窃取

　　获取用户BIOS密码、屏幕保护密码、基于NT核心的登陆密码、FOXMAIL密码、OUTLOOK密码和IE自动完成密码等，直接威胁用户的隐私安全。

　　2. 键盘记录

　　记录用户电脑的一切键盘输入，包括中英文输入。

　　3. 视频监控

　　远程开启用户USB摄像头，并将其偷拍数据转换为Mpeg文件传给 黑客 观看，比蜜蜂大盗功能更为强大。

　　4. 语音监听

　　利用麦克风捕捉的用户的一切声音，这也是该木马最为引人注目之处。

　　5. 远程控制

　　该病毒有远程监控的功能，类似于国产冰河、灰鸽子等黑客控制软件。该功能可以使黑客监控感染病毒的计算机，在不经任何授权的情况下，非法观看远程桌面、远程重启关机，以及所有资源/文件,并可以控制上传下载。

　　6. 远程关闭用户进程

　　该木马具有远程查看用户所有进程的功能，并可以结束用户开启的任意程序。

　　7. 后台隐藏

　　该病毒可以以dll方式注入到 任意进程中，包括"explorer.exe "，"IE 浏览器"，"notepad.exe" 等 系统进程 中，具有更强的隐蔽行，再加上病毒名、大小、隐藏路径都是不定的，这就给用户的发现和病毒的查杀带来了一定困难。

　　8. 反弹端口

　　该病毒可以按反弹端口方式进行反向连接，这样就病毒可以穿透一般防火墙，渗透到内部网络，给许多公司的内部信息带来了极大的安全隐患。

　　9.自带IP数据库

　　该木马自带IP数据库，这样当黑客与被感染机器建立连接后能看到用户所在的实际地理位置，使得黑客在挑选攻击对象时能有所选择。