Backdoor.Win32.Singu.o

病毒名称： Backdoor.Win32.Singu.o

中文名称： 黑洞2004

病毒类型： 后门

危害等级： 高

文件长度： 客户端大小 4.13 MB (Backdoor.Win32.Singu.v ) 服务端大小 471KB ( Backdoor.Win32.Singu.o )

感染系统： Windows 9x以上的所有版本

编写语言： Microsoft Visual C++

病毒描述：

感染 Backdoor.Win32.Singu.o( 黑洞 2004 客户端配置的服务端 ) ，会打开后门端口， Backdoor.Win32.Singu.o( 服务端 ) 按反弹端口方式进行连接， 通过生成服务端时设定的 URL ， 主动连接到远程攻击者接受控制， 能穿透一般防火墙、渗透到内部网络。按主动连接型则等待客户端的主动连接。能够记录下用户语音、视频聊天等程序，可以窃取用户密码，记录用户电脑的一切键盘输入，包括中英文输入，直接威胁用户的隐私安全，并可以结束用户开启的任意程序， 是一种危险性较高的 木 马。

行为分析：

1 、 服务端运行后到系统，路径可能为 %System% ， %Windows% ， %temp% 。

2 、 在注册表中添加下列启动项， HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run 或 HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Temp 项目名 "111 ，键值“ server.exe ”，从而达到 随系统启动的目的。

3 、 在随机端口开设后门，等待攻击者远程连接。

4 、 若是以 dll 方式注入的版本，则加载到任意进程中，包括 "explorer.exe " ， "IE 浏览器 " ， "notepad.exe" 等系统进程中，隐蔽性极强。