大家好,我是小典,我来为大家解答以上问题。灰鸽子雪乡旅游团完整版,灰鸽子很多人还不知道,现在让我们一起来看看吧!
1、病毒名称: Backdoor.GrayBird.ad 中文名称: 灰鸽子 病毒类型: 木马 文件长度:382 KB 感染系统: Windows9x以上的所有版本 编写语言: Delphi 6 加壳类型:TeLock 二、病毒描述: 灰鸽子(Backdoor.GrayBird.ad)运行后,主动打开后门端口(端口号不确定),攻击者对感染主机可进行远程控制。
2、若服务端配置属自动上线型,则通过配置服务端时设定的URL,主动连接到远程攻击者并接受控制。
3、 灰鸽子(Backdoor.GrayBird.ad)利用“反弹端口原理”,可穿过某些防火墙。
4、远程攻击者连接成功后可监控服务端屏幕,截获感染主机的oicq、icq, 网络游戏,邮箱,上网账号等敏感信息,同时还可在服务端开启Socks5 及 FTP服务,并且具有修改文件、注册表功能,是一种危险性较高的木马。
5、 灰鸽子(Backdoor.GrayBird.ad)运行后,会创建3个病毒文件,在安全模式下才可看到。
6、 三、 行为分析: 灰鸽子运行后,会拷贝服务端到系统,存在于以下路径%System%, %Windows%, %temp%,服务端名称可能为 GrayPigeon.exe , GrayPigeon.bat , GrayPigeon.com, Winlogo.EXE, Windows.EXE,RAVMOND.EXE, SP00LSV.EXE, SVCH0ST.EXE 2、修改注册表并添加键值,从而达到随系统启动的目的: 如果是win9x系统,将向win.ini中添加键值。
7、 如果是NT系统,将向如下3个启动项中添加键值: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun 3、灰鸽子运行后,会创建三个病毒文件,IExplorer.exe,IExplorer.dll, IExplorer_Hook.dll,同时将IExplorer_Hook.dll注入到系统每个进程中。
8、 4、在随机端口开设后门,等待攻击者远程连接。
9、 四、清除方案: 使用安天木马防线可彻底清除此病毒(推荐)。
10、 2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
11、 NOTE:灰鸽子的新变种CJ(Win32.Hack.Huigezi.cj)。
本文到此讲解完毕了,希望对大家有帮助。