黑洞2001是陈经韬在今年1月开发出来的木马,它是黑洞2000的升级版本。在这个版本中作者加入了一些新的功能和特性,最吸引人的地方是它的进程监控功能。在黑洞2000中虽然已经实现了这个功能,但黑洞2000只能监控天网一个进程,2001却能同时对多进程进行监控!下面让我们一起来看看黑洞2001。
【责任编辑:小木工】
黑洞2001下载解压后只有一个文件s_client.exe,它是监控端执行程序,用于监控远程计算机,大小807424字节。有经验的朋友可能要问了,怎么只有一个监控端文件?它的服务端呢?哈哈,问得好!黑洞2001的服务端隐藏在客户端程序中,只要你运行s_client.exe(如图1),点其中的“生成服务端文件”即可生成一个服务端文件,生成的服务端文件名为S_Server.exe,大小397632字节。服务端的图标是普通文件夹所用的图标,如果你下载了这个服务端,并且你的系统设置为“隐藏已知文件类型的扩展名”,这时服务端看起来就是一个普通的文件夹,当你好奇的点击,打算进入看看有什么文件在其中时,潘多拉的盒子打开了!噩梦由此开始!
图 1
黑洞2001服务端会在c:\windows\system下生成两个文件,一个是S_Server.exe,S_Server.exe的是服务端的直接复制,因此它的大小和图标没有变化;另一个是windows.exe,文件大小为255488字节,它的图标是未定义类型的图标。黑洞2001是典型的文件关联木马,windows.exe文件用来机器开机时立刻运行打开默认连接的2001端口,S_Server.exe文件用来和TXT文件打开方式连起来(即关联)!当中木马者发现自己中了木马而在DOS下把windows.exe文件删除后,服务端就暂时被关闭,即木马暂时删除,当他运行任何文本文件时,隐蔽的S_Server.exe木马文件就又被击活了,于是它再次生成windows.exe文件,即木马又被中入!这也就是这种关联木马难以清除的一个原因。要说明的是,黑洞2001允许控制端用户自由定制安装后的木马文件名和所使用的端口,因此如果中了黑洞2001,那么你看到的文件名完全可能与此不同,木马连接端口也可能不是2001,关联的文件也可以是EXE文件。本文是按其默认服务端配置来讲的。
