Backdoor.Win32.BlackHole.cu分析与清除

　　一、病毒标签：

　　病毒名称： Backdoor.Win32.BlackHole.cu

　　病毒类型：后门类

　　文件 MD5： F2F20D278B21DD4B0D96F35D8293D320

　　公开范围： 完全公开

　　危害等级： 4

　　文件长度： 217，088 字节

　　感染系统： Windows98以上版本

　　加壳类型： UPX 0.89.6 - 1.02 / 1.05 - 1.24

　　二、病毒描述：

　　该病毒后门类，病毒运行后复制自身到系统目录，衍生病毒文件，并删除自身。创建服务，并以服务的方式达到随机启动的目的。该病毒具有自动上线的功能，一旦连接成功则远程控制端可以对用户电脑进行上传下载文件，注册表操作，服务操作，屏幕监控，摄像头抓图等远程控制。

　　三、行为分析：

　　本地行为：

　　1、 文件运行后会衍生以下文件

　　%WinDir%\eph.cfg 2字节

　　%WinDir%\eph.exe 217，088字节

　　2、修改注册表Internet Settings中的默认路径，由当前用户文件夹改为LocalService文件夹

　　3、创建服务，并以服务的方式达到随机启动的目的：

　　服务名称：Black Hole2005 Professional

　　显示名称：Black Hole2005 Professional Version

　　描述语言：Black Hole2005 Professional Version Service

　　文件路径：c：\WINDOWS\eph.exe启动方式：自动

　　4、连接网络获取远程控制端IP地址，并主动连接该IP地址：

　　wahm.2169.net（222.89.130.4：80） 获取远程控制端地址： 59.61.211.19：2008

　　5、通过恶意网站、其它病毒/木马下载传播；该病毒可以对用户电脑进行远程控制

　　注释：

　　%Windir% WINDODWS所在目录

　　%DriveLetter% 逻辑驱动器根目录

　　%ProgramFiles% 系统程序默认安装目录

　　%HomeDrive% 当前启动系统所在分区

　　%Documents and Settings% 当前用户文档根目录

　　%Temp% 当前用户TEMP缓存变量；路径为：

　　%Documents and Settings%\当前用户\Local Settings\Temp

　　%System32% 是一个可变路径；

　　病毒通过查询操作系统来决定当前System32文件夹的位置；

　　Windows2000/NT中默认的安装路径是　C：\Winnt\System32；

　　Windows95/98/Me中默认的安装路径是　C：\Windows\System；

　　WindowsXP中默认的安装路径是　C：\Windows\System32.

　　四、 清除方案：

　　1、使用安天木马防线可彻底清除此病毒（推荐），请到安天网站下载：www.antiy.com.

　　2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。推荐使用ATool（安天安全管理工具），ATool下载地址： www.antiy.com或http://www.antiy.com/download/index.htm.

　　（1） 使用安天木马防线或ATool中的“进程管理”关闭病毒进程eph.exe

　　（2） 强行删除病毒文件

　　%WinDir%\eph.cfg 2字节

　　%WinDir%\eph.exe 217，088字节