摘要:黑洞是一款国际的老牌后门程序,从去年年底到往年春节,黑洞的作者延续颁布了两个新版本,尤其是最近的一个版本,由于服务端程序做到了,三无,——,无文件、无注册表消息、无进程,,让黑洞被发现的或者性降到最低,从而大大参与了这款木马的风险水平,新黑洞有何特点
黑洞是一款国际的老牌后门程序。从去年年底到往年春节,黑洞的作者延续颁布了两个新版本,尤其是最近的一个版本,由于服务端程序做到了“三无”——“无文件、无注册表消息、无进程”,让黑洞被发现的或者性降到最低,从而大大参与了这款木马的风险水平。新黑洞有何特点。www.sq120.com介绍文章最新推出的黑洞后门,所有数据都经常使用AES加密算法加密后启动传输,能够在最大水平上包全自己数据传输的安保。同时,新版黑洞可以在没有经常使用任何虚构驱动技术的状况下,启动高速的视频监控。另外,新版黑洞对服务端程序的文件、注册表、进程和服务等关系消息启动暗藏,能够极好地暗藏自己。系统数据无辜被盗王强最近有点郁闷,由于自己电脑中的很多资料被盗,他经过一系列的剖析,判别系统中有后门程序。原本想经过数据包剖析,获取偷资料的那团体的IP地址,可是捕捉的数据包都是经常使用AES加密算法加密后传输的,所以最终满载而归。于是只得求助安保诊所。听完王强的形容,安保诊所的陈医生心中曾经知道这是款什么后门程序了。由于,到目前为止,对一切数据加密传输的后门程序只要一个——黑洞远程控制软件。后门进程隐于IE陈医生预备经常使用IceSword来检测进程,它可以轻松地查探系统中的暗藏进程。运转IceSword,点击左侧工具栏中的“进程”按钮,一个用白色表明的IE阅读器进程很快进入了视线,这个后门程序果真还是应用了IE阅读器的进程(图1)。wWW.ITCOmpUteR.cOm.cn在这个进程上单击鼠标右键,选用“模块消息”命令。陈医生在弹出的“进程模块消息”窗口中,发现两个可疑的DLL文件,区分名为“brc_ServerHook.dll”和“brc_Server.dll”(图2)。经过对这两个DLL文件的剖析,陈医生判定这两个DLL文件就是调用IE阅读器进程的幕后黑手。至于为什么义务治理器没有显示出IE阅读器的进程,完全是由于后门程序经常使用了Rootkit技术将进程启动了暗藏。后门启动隐于服务如今陈医生开局着手审核后门程序的启动项。他选择驳回目前盛行的超级巡警来启动检测。运转超级巡警后点击工具栏中的“初级”按钮,再点击主界面中的“服务治理”标签,用户经过它可以检查、启动、中止和删除服务项。口头右键菜单中的“检测暗藏服务”命令对暗藏的服务启动扫描,很快一个名为“BRC_Services”的暗藏服务就出如今咱们的背地(图3)。从这个服务每次和DLL文件称号的对比发现,该系统服务正是咱们寻觅的后门程序启动项。看似便捷的肃清操作如今陈医生开局黑洞的肃清操作。首先运转超级巡警,在“服务治理”标签列表中找到后门程序的启动服务,点击右键菜单中的“删除服务”命令将它删除;接着再运转程序IceSword,在“进程”列表中找到被后门应用的IE阅读器进程,而后口头右键菜单中的“完结进程”命令来封锁该进程。一切操作看似十分顺利,可是新的疑问又来了。由于后门程序的文件也是被暗藏的,在反常的系统状况下基本不可肃清,所以还得另外想其余方法。还是应用IceSword,点击工具栏中的“文件”按钮,而后进入系统的System32目录中,细心寻觅,最终发现了服务端程序言件消息,选用它们后点击“强行删除”命令就可以了。编后:“三无”是一种趋向咱们知道以前的后门进程暗藏经常应用线程拔出技术,然而随着人们安保看法的提高,单纯应用线程拔出启动后门暗藏曾经难以躲过杀毒软件的检测。于是应用Rootkit技术成功服务端程序的文件、注册表、进程和服务的暗藏,曾经是后门程序的一种全新开展趋向。所以以后当大家疑心自己中招却又不可检测到可疑的消息时,就应该疑心这些恶意程序能否启动了暗藏设置,而后应用相应的检测工具启动审核,即可扫除恶意程序对系统的影响。
From:
