“黑洞制造者”利用svchost.exe进程开后门

• 关 键 词：
• svchost.exe
• server
• telnet
• 反病毒软件
• 修改注册表

"黑洞制造者"(Win32.Hack.Delf.536576)这是一个黑洞远程控制软件客户端。

"灰鸽子变种169984"(Win32.Hack.Huigezi.169984)这是一个后门程序。

一、"黑洞制造者"(Win32.Hack.Delf.536576) 威胁级别：★

隐蔽安装，复制自身至系统文件夹，释放病毒文件，注入及利用svchost.exe进程，打开计算机后门，使用户电脑成为"肉鸡"，提供给远程黑客控制。

1.复制自身至

%sys32dir%\brc_Server.exe

并释放文件

%sys32dir%\brc_Server.dat
%sys32dir%\brc_Server.dll

2.利用svchost.exe进程，打开计算机后门，使用户电脑成为"肉鸡"，提供给远程黑客控制，包括屏幕控制、屏幕查看、文件管理、视频监控、Telnet、系统信息、进程管理等功能。

3.支持反向连接，数据传输使用"AES加密算法"加密

二、"灰鸽子变种169984"(Win32.Hack.Huigezi.169984) 威胁级别：★

该病毒是灰鸽子的变种，病毒运行后衍生病毒文件到系统目录下，修改注册表，创建服务，并以服务的方式达到随机启动的目的；病毒运行后可远程控制用户机器。

1.修改注册表，添加服务，以达到开机启动的目的。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netservice
DisplayName	"远程管理软件显示信息"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netservice	
ObjectName	"LocalSystem"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netservice
Description	"远程管理软件描述信息"

2.病毒运行后可远程控制用户机器。

金山反病毒工程师建议

1.最好安装专业的杀毒软件进行全面监控。建议用户安装反病毒软件防止日益增多的病毒，用户在安装反病毒软件之后，应该经常进行升级、将一些主要监控经常打开（如邮件监控）、内存监控等，遇到问题要上报，这样才能真正保障计算机的安全。

2.玩网络游戏、利用QQ聊天的用户会有所增多，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，及时升级杀毒软件，开启防火墙以及实时监控等功能，切断病毒传播的途径，不给病毒以可乘之机。

【深 度 阅 读】 相 关 文 章

• 利用C语言小程序来解决大问题
• 充分利用Word中的域
• 利用Excel记录单快速录入表格数据
• 利用Flash MX模板制作XML动态菜单(1)