黑客藏身"艳照门"图片 "黑洞"自动激活

　　【序】如果出现了吸引眼球的网络事件，黑客必然蜂拥而至。

　　最近还有比“艳照门”更吸引眼球的网络事件么？……没有。

　　所以，没有悬念，黑客来了……

　　【正文】

　　“注意力经济”对于当下以“盈利”为首要目的的黑客团伙来讲，俨然已成为一种最常用的“狩猎”方式。“艳照门”，作为近期最吸引眼球的网络事件，很必然的引起了黑客团伙的关注，记者在采访反病毒专家时也证实到了这一点。

　　据微点反病毒专家介绍，微点主动防御软件近日自动捕获的黑洞后门变种“Backdoor.Win32.BlackHole.iu”，就被黑客捆绑于互联网广为流传的“艳照门”相关图片压缩包中，通过RAR自解压脚本在用户双击打开压缩文件时便会将黑洞后门自动激活。

　　黑洞是一个“著名的”后门程序，被种植有后门程序的主机一般成为黑客的“肉鸡”，即可被黑客任意操控，任人宰割。

　　典型的后门程序，以黑洞为例，可以实现如下远程控制功能：进程管理，获取系统密码，远程操作注册表，远程重启关机，开启远程TELNET，文件上传下载，远程图形界面控制，记录键盘输入，如果对方存在摄像头则可以开启摄像头进行视频监控，抓取“肉鸡”屏幕图像，可将肉鸡屏幕显示录制为视频文件等等。也就是说，一旦中了黑洞后门，你的计算机，甚至你的生活，都将毫无隐私可言，完全赤裸裸地呈现在黑客眼前，任其宰割。

图1　病毒伪装成Windows默认文件夹图标

　　正所谓魔高一尺道高一丈，微点主动防御软件恰恰是此类后门程序的克星。本例中的黑洞后门变种“Backdoor.Win32.BlackHole.iu”采取了多种手法对抗传统杀毒软件，如试图使用反复加壳的方式躲避特征码扫描（五层NsPacK壳和一层ASProtect壳），将图标改为Windows默认文件夹图标（图1）以进一步迷惑普通用户。

　　但是，无论是加壳免杀还是图标障眼法，在微点主动防御软件面前都是徒劳，行为分析技术可以透过这些表面现象直接判断程序本质，将黑洞后门病毒明确报出，并自动清除。（图2、3）

图2　主动防御软件的报警图

图3　微点升级后已知特征报警图

　　在此，微点反病毒专家提醒广大网友，一方面要尽量避免网络世界的各种“花花诱惑”，培养自身高尚的生活情操，另一方面，建议广大网友安装使用正版杀毒软件，以保护您在并不安全的网络环境中仍能享有一块安全的净土。