铁杵磨成针的课外阅读:什么是黑洞病毒

“黑洞”病毒最新变种(Backdoor/Heidong.2005)。
该病毒除包括以前的自动打开染毒者的摄像头，进行远程监控、远程摄像、中止防火墙等功能外，还会将自身添加为“服务”，达到开机自动启动的目的，隐蔽性更强。
该病毒在感染计算机后，会释放wind1132.exe、wind1132.cfg、KeySpy.dll 和Keylog.txt四个文件，wind1132.exe是病毒主程序文件；wind1132.cfg 是配置文件；KeySpy.dll是病毒钩子模块；Keylog.txt是键盘输入记录文件。
该病毒具有较大的破坏力，若感染该病毒，用户密码很有可能会被窃取，包括BIOS密码、屏幕保护密码、基于NT核心的登陆密码、FOXMAIL密码、OUTLOOK密码和IE自动完成密码等，直接威胁用户的隐私安全。病毒会记录用户电脑的一切键盘输入，包括中英文输入，甚至还可以远程开启用户USB摄像头，并将其偷拍数据转换为Mpeg文件传给黑客观看，比去年截获的专门开启摄像头偷窥用户卧室隐私的“蜜蜂大盗”病毒功能更为强大。同时，该病毒还具备远程监控的功能，类似于冰河、灰鸽子等黑客控制软件。此项功能可以使黑客监控感染病毒的计算机，在不经任何授权的情况下，非法观看远程桌面、远程重启关机以及所有资源/文件,并可以控制上传下载。此外，该木马具有远程查看用户所有进程和窗体的功能，并可以结束用户开启的任意程序，更让人头痛的是，该病毒可以按反弹端口方式进行反向连接，这样它就可以穿透一般防火墙，渗透到内部网络，给许多公司的内部信息带来了极大的安全隐患。
针对该病毒，请及时升级病毒库，开启“木马/注册表监视”，即可全面查杀该病毒，保护您的系统不受其侵害。“木马一扫光”等组件，可有效防范此类隐身的木马后门程序，确保电脑用户的隐私信息不被偷窥。

“黑洞”病毒技术分析报告如下：

病毒名称：“黑洞”(Backdoor/BlackHole.2004)

病毒类型：特洛伊木马

病毒大小：可变

传播方式：网络

具体技术特征如下：

1.在感染计算机上释放下列文件：

病毒运行后，将创建下列文件：%WinDir%\server.exe，207982字节

2.在注册表中添加下列启动项：[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "111" = %WinDir%\server.exe

这样，在Windows启动时，病毒就可以自动执行。

病毒具体危害如下：

1.密码窃取

获取用户BIOS密码、屏幕保护密码、基于NT核心的登陆密码、FOXMAIL密码、OUTLOOK密码和IE自动完成密码等，直接威胁用户的隐私安全。

2.键盘记录

记录用户电脑的一切键盘输入，包括中英文输入。

3.视频监控

远程开启用户USB摄像头，并将其偷拍数据转换为Mpeg文件传给黑客观看，比蜜蜂大盗功能更为强大。

4.语音监听

利用麦克风捕捉的用户的一切声音，这也是该木马最为引人注目之处。

5.远程控制

该病毒有远程监控的功能，类似于国产冰河、灰鸽子等黑客控制软件。该功能可以使黑客监控感染病毒的计算机，在不经任何授权的情况下，非法观看远程桌面、远程重启关机，以及所有资源/文件，并可以控制上传下载。

6.远程关闭用户进程

该木马具有远程查看用户所有进程的功能，并可以结束用户开启的任意程序。

7.后台隐藏

该病毒可以以dll方式注入到任意进程中，包括“explorer.exe ，“IE浏览器”，“notepad.exe”等系统进程中，具有更强的隐蔽行，再加上病毒名、大小、隐藏路径都是不定的，这就给用户的发现和病毒的查杀带来了一定困难。

8.反弹端口

该病毒可以按反弹端口方式进行反向连接，这样就病毒可以穿透一般防火墙，渗透到内部网络，给许多公司的内部信息带来了极大的安全隐患。

9.自带IP数据库

该木马自带IP数据库，这样当黑客与被感染机器建立连接后能看到用户所在的实际地理位置，使得黑客在挑选攻击对象时能有所选择。