黑洞是一款國內的老牌後門程序。從去年年底到今年春節,黑洞的作者連續發布了兩個新版本,尤其是最近的一個版本,因為服務端程序做到了“三無”——“無文件、無注冊表信息、無進程”,讓黑洞被發現的可能性降到最低,從而大大增加了這款木馬的危險程度。
新黑洞有何特點。www.sq120.com推薦文章
最新推出的黑洞後門,全部數據都使用AES加密算法加密後進行傳輸,能夠在最大程度上保護自己數據傳輸的安全。同時,新版黑洞可以在沒有使用任何虛擬驅動技術的情況下,進行高速的視頻監控。另外,新版黑洞對服務端程序的文件、注冊表、進程和服務等相關信息進行隱藏,能夠極好地隱藏自己。
系統數據無辜被盜
王強最近有點郁悶,因為自己電腦中的很多資料被盜,他經過一系列的分析,判斷系統中有後門程序。本來想通過數據包分析,得到偷資料的那個人的IP地址,可是捕獲的數據包都是使用AES加密算法加密後傳輸的,所以最終一無所獲。於是只得求助安全診所。
聽完王強的描述,安全診所的陳醫生心中已經知道這是款什麼後門程序了。因為,到目前為止,對所有數據加密傳輸的後門程序只有一個——黑洞遠程控制軟件。
後門進程隱於IE
陳醫生准備使用IceSword來檢測進程,它可以輕松地查探系統中的隱藏進程。運行IceSword,點擊左側工具欄中的“進程”按鈕,一個用紅色標明的IE浏覽器進程很快進入了視野,這個後門程序果然還是利用了IE浏覽器的進程(圖1)。tw.WiNgwIt.Com
在這個進程上單擊鼠標右鍵,選擇“模塊信息”命令。陳醫生在彈出的“進程模塊信息”窗口中,發現兩個可疑的DLL文件,分別名為“brc_ServerHook.dll”和“brc_Server.dll”(圖2)。通過對這兩個DLL文件的分析,陳醫生斷定這兩個DLL文件就是調用IE浏覽器進程的幕後黑手。至於為什麼任務管理器沒有顯示出IE浏覽器的進程,完全是因為後門程序使用了Rootkit技術將進程進行了隱藏。
後門啟動隱於服務
現在陳醫生開始著手檢查後門程序的啟動項。他決定采用目前流行的超級巡警來進行檢測。運行超級巡警後點擊工具欄中的“高級”按鈕,再點擊主界面中的“服務管理”標簽,用戶通過它可以查看、啟動、停止和刪除服務項。
執行右鍵菜單中的“檢測隱藏服務”命令對隱藏的服務進行掃描,很快一個名為“BRC_Services”的隱藏服務就出現在我們的面前(圖3)。從這個服務每次和DLL文件名稱的對比發現,該系統服務正是我們尋找的後門程序啟動項。
看似簡單的清除操作
現在陳醫生開始黑洞的清除操作。首先運行超級巡警,在“服務管理”標簽列表中找到後門程序的啟動服務,點擊右鍵菜單中的“刪除服務”命令將它刪除;接著再運行程序IceSword,在“進程”列表中找到被後門利用的IE浏覽器進程,然後執行右鍵菜單中的“結束進程”命令來關閉該進程。
一切操作看似非常順利,可是新的問題又來了。由於後門程序的文件也是被隱藏的,在正常的系統狀況下根本無法清除,所以還得另外想其他辦法。
還是利用IceSword,點擊工具欄中的“文件”按鈕,然後進入系統的System32目錄中,仔細尋找,最終發現了服務端程序文件信息,選擇它們後點擊“強行刪除”命令就可以了。
編後:“三無”是一種趨勢
我們知道以前的後門進程隱藏常常利用線程插入技術,但是隨著人們安全意識的提高,單純利用線程插入進行後門隱藏已經難以躲過殺毒軟件的檢測。於是利用Rootkit技術實現服務端程序的文件、注冊表、進程和服務的隱藏,已經是後門程序的一種全新發展趨勢。所以以後當大家懷疑自己中招卻又無法檢測到可疑的信息時,就應該懷疑這些惡意程序是否進行了隱藏設置,然後利用相應的檢測工具進行檢查,即可排除惡意程序對系統的影響。
From:http://tw.wingwit.com/Article/Network/201309/465.html