Win32.Troj.BlackHole.t

病毒名称(中文):

病毒别名:

威胁级别:

★☆☆☆☆

病毒类型:

木马程序

病毒长度:

484352

影响系统:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行为:

这是一个被捆绑了黑客程序的软件安装程序，它在安装软件的过程中偷偷释放一个后门

到机器上，黑客可以通过此后门控制被感染机。

1：放出后门

在软件的安装过程中，会释放并运行一个病毒名为"Win32.Hack.BlackHole.p.769024"、

文件名为"Server.exe"的后门，使用户机器被此后门感染。

2：后门分析：

A、拷贝文件

后门被运行后，会把自己拷贝到windows目录下，命名为win.com.cn.exe

并加入隐藏、系统、只读三个文件属性。

%Window%\win.com.cn.exe

B、注册服务

后门会注册一个名为"iexplorer.exe"的服务，指向win.com.cn.exe

并设为自动启动，使后门能随Windows启动。

C、删除自己

病毒会在Windows目录下创建一个名为"uninstal.bat"的批处理文件，在里面写入以下内容：

:try

del"[Server.exe的地址]"

ifexist"[Server.exe的地址]"gototry

del%0

exit

然后运行，删除原来的后门。

D、注入IE

病毒会创建一个无窗口的InternetExplorer进程，把自己注入到该进程里面运行，

之后主进程退出，使系统中没有病毒的进程。之后注入到InternetExplorer的病毒

就开放端口供黑客连接，使用户机器被黑客控制。