黑洞是一款國內的老牌後門程式。從去年年底到今年春節,黑洞的作者連續發佈了兩個新版本,尤其是最近的一個版本,因為服務端程式做到了“三無”——“無檔、無註冊表資訊、無進程”,讓黑洞被發現的可能性降到最低,從而大大增加了這款木馬的危險程度。
新黑洞有何特點。www.sq120.com推薦文章
最新推出的黑洞後門,全部數據都使用AES加密演算法加密後進行傳輸,能夠在最大程度上保護自己數據傳輸的安全。同時,新版黑洞可以在沒有使用任何虛擬驅動技術的情況下,進行高速的視頻監控。另外,新版黑洞對服務端程式的檔、註冊表、進程和服務等相關資訊進行隱藏,能夠極好地隱藏自己。
系統數據無辜被盜
王強最近有點鬱悶,因為自己電腦中的很多資料被盜,他經過一系列的分析,判斷系統中有後門程式。本來想通過數據包分析,得到偷資料的那個人的IP地址,可是捕獲的數據包都是使用AES加密演算法加密後傳輸的,所以最終一無所獲。於是只得求助安全診所。
聽完王強的描述,安全診所的陳醫生心中已經知道這是款什麼後門程式了。因為,到目前為止,對所有數據加密傳輸的後門程式只有一個——黑洞遠程控制軟體。
後門進程隱於IE
陳醫生準備使用IceSword來檢測進程,它可以輕鬆地查探系統中的隱藏進程。運行IceSword,點擊左側工具欄中的“進程”按鈕,一個用紅色標明的IE流覽器進程很快進入了視野,這個後門程式果然還是利用了IE流覽器的進程(圖1)。
在這個進程上單擊滑鼠右鍵,選擇“模組資訊”命令。陳醫生在彈出的“進程模組資訊”窗口中,發現兩個可疑的DLL檔,分別名為“brc_ServerHook.dll”和“brc_Server.dll”(圖2)。通過對這兩個DLL檔的分析,陳醫生斷定這兩個DLL檔就是調用IE流覽器進程的幕後黑手。至於為什麼任務管理器沒有顯示出IE流覽器的進程,完全是因為後門程式使用了Rootkit技術將進程進行了隱藏。
後門啟動隱於服務
現在陳醫生開始著手檢查後門程式的啟動項。他決定採用目前流行的超級巡警來進行檢測。運行超級巡警後點擊工具欄中的“高級”按鈕,再點擊主介面中的“服務管理”標籤,用戶通過它可以查看、啟動、停止和刪除服務項。
執行右鍵菜單中的“檢測隱藏服務”命令對隱藏的服務進行掃描,很快一個名為“BRC_Services”的隱藏服務就出現在我們的面前(圖3)。從這個服務每次和DLL檔案名稱的對比發現,該系統服務正是我們尋找的後門程式啟動項。
看似簡單的清除操作
現在陳醫生開始黑洞的清除操作。首先運行超級巡警,在“服務管理”標籤列表中找到後門程式的啟動服務,點擊右鍵菜單中的“刪除服務”命令將它刪除;接著再運行程式IceSword,在“進程”列表中找到被後門利用的IE流覽器進程,然後執行右鍵菜單中的“結束進程”命令來關閉該進程。
一切操作看似非常順利,可是新的問題又來了。由於後門程式的檔也是被隱藏的,在正常的系統狀況下根本無法清除,所以還得另外想其他辦法。
還是利用IceSword,點擊工具欄中的“檔”按鈕,然後進入系統的System32目錄中,仔細尋找,最終發現了服務端程式檔資訊,選擇它們後點擊“強行刪除”命令就可以了。
編後:“三無”是一種趨勢
我們知道以前的後門進程隱藏常常利用線程插入技術,但是隨著人們安全意識的提高,單純利用線程插入進行後門隱藏已經難以躲過殺毒軟體的檢測。於是利用Rootkit技術實現服務端程式的檔、註冊表、進程和服務的隱藏,已經是後門程式的一種全新發展趨勢。所以以後當大家懷疑自己中招卻又無法檢測到可疑的資訊時,就應該懷疑這些惡意程式是否進行了隱藏設置,然後利用相應的檢測工具進行檢查,即可排除惡意程式對系統的影響。 |
