黑洞是一款国内的老牌后门程序。从去年年底到今年春节,黑洞的作者连续发布了两个新版本,尤其是最近的一个版本,因为服务端程序做到了“三无”——“无文件、无注册表信息、无进程”,让黑洞被发现的可能性降到最低,从而大大增加了这款木马的危险程度。
新黑洞有何特点。www.sq120.com推荐文章
最新推出的黑洞后门,全部数据都使用AES加密算法加密后进行传输,能够在最大程度上保护自己数据传输的安全。同时,新版黑洞可以在没有使用任何虚拟驱动技术的情况下,进行高速的视频监控。另外,新版黑洞对服务端程序的文件、注册表、进程和服务等相关信息进行隐藏,能够极好地隐藏自己。
系统数据无辜被盗
王强最近有点郁闷,因为自己电脑中的很多资料被盗,他经过一系列的分析,判断系统中有后门程序。本来想通过数据包分析,得到偷资料的那个人的IP地址,可是捕获的数据包都是使用AES加密算法加密后传输的,所以最终一无所获。于是只得求助安全诊所。
听完王强的描述,安全诊所的陈医生心中已经知道这是款什么后门程序了。因为,到目前为止,对所有数据加密传输的后门程序只有一个——黑洞远程控制软件。
后门进程隐于IE
陈医生准备使用IceSword来检测进程,它可以轻松地查探系统中的隐藏进程。运行IceSword,点击左侧工具栏中的“进程”按钮,一个用红色标明的IE浏览器进程很快进入了视野,这个后门程序果然还是利用了IE浏览器的进程(图1)。wWW.ITCOmpUteR.cOm.cn
在这个进程上单击鼠标右键,选择“模块信息”命令。陈医生在弹出的“进程模块信息”窗口中,发现两个可疑的DLL文件,分别名为“brc_ServerHook.dll”和“brc_Server.dll”(图2)。通过对这两个DLL文件的分析,陈医生断定这两个DLL文件就是调用IE浏览器进程的幕后黑手。至于为什么任务管理器没有显示出IE浏览器的进程,完全是因为后门程序使用了Rootkit技术将进程进行了隐藏。
后门启动隐于服务
现在陈医生开始着手检查后门程序的启动项。他决定采用目前流行的超级巡警来进行检测。运行超级巡警后点击工具栏中的“高级”按钮,再点击主界面中的“服务管理”标签,用户通过它可以查看、启动、停止和删除服务项。
执行右键菜单中的“检测隐藏服务”命令对隐藏的服务进行扫描,很快一个名为“BRC_Services”的隐藏服务就出现在我们的面前(图3)。从这个服务每次和DLL文件名称的对比发现,该系统服务正是我们寻找的后门程序启动项。
看似简单的清除操作
现在陈医生开始黑洞的清除操作。首先运行超级巡警,在“服务管理”标签列表中找到后门程序的启动服务,点击右键菜单中的“删除服务”命令将它删除;接着再运行程序IceSword,在“进程”列表中找到被后门利用的IE浏览器进程,然后执行右键菜单中的“结束进程”命令来关闭该进程。
一切操作看似非常顺利,可是新的问题又来了。由于后门程序的文件也是被隐藏的,在正常的系统状况下根本无法清除,所以还得另外想其他办法。
还是利用IceSword,点击工具栏中的“文件”按钮,然后进入系统的System32目录中,仔细寻找,最终发现了服务端程序文件信息,选择它们后点击“强行删除”命令就可以了。
编后:“三无”是一种趋势
我们知道以前的后门进程隐藏常常利用线程插入技术,但是随着人们安全意识的提高,单纯利用线程插入进行后门隐藏已经难以躲过杀毒软件的检测。于是利用Rootkit技术实现服务端程序的文件、注册表、进程和服务的隐藏,已经是后门程序的一种全新发展趋势。所以以后当大家怀疑自己中招却又无法检测到可疑的信息时,就应该怀疑这些恶意程序是否进行了隐藏设置,然后利用相应的检测工具进行检查,即可排除恶意程序对系统的影响。
From:http://www.itcomputer.com.cn/Article/Network/201309/465.html