Backdoor.GrayBird.ad 分析 我中的病毒

最新推荐文章于 2019-12-26 14:52:48 发布
最新推荐文章于 2019-12-26 14:52:48 发布
阅读量1k 收藏
点赞数
分类专栏: 学习心得 文章标签: 远程连接 delphi windows 网络游戏 防火墙 system
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chaochao0325/article/details/495838
版权

病毒名称: Backdoor.GrayBird.ad
中文名称: 灰鸽子
病毒类型: 木马
危害等级: 高
文件长度:382 KB
感染系统: Windows9x以上的所有版本
编写语言: Delphi 6
加壳类型:TeLock

二、病毒描述:


   灰鸽子(Backdoor.GrayBird.ad)运行后,主动打开后门端口(端口号不确定),攻击者对感染主机可进行远程控制。若服务端配置属自动上线型,则通过配置服务端时设定的URL,主动连接到远程攻击者并接受控制。

  灰鸽子(Backdoor.GrayBird.ad)利用“反弹端口原理”,可穿过某些防火墙。远程攻击者连接成功后可监控服务端屏幕,截获感染主机的oicq、icq, 网络游戏,邮箱,上网账号等敏感信息,同时还可在服务端开启Socks5 及 FTP服务,并且具有修改文件、注册表功能,是一种危险性较高的木马。
  灰鸽子(Backdoor.GrayBird.ad)运行后,会创建3个病毒文件,在安全模式下才可看到。

三、 行为分析:

1、灰鸽子运行后,会拷贝服务端到系统,存在于以下路径%System%, %Windows%, %temp%,服务端名称可能为
GrayPigeon.exe , GrayPigeon.bat , GrayPigeon.com, Winlogo.EXE, Windows.EXE,RAVMOND.EXE, SP00LSV.EXE, SVCH0ST.EXE
2、修改注册表并添加键值,从而达到随系统启动的目的:
如果是win9x系统,将向win.ini中添加键值。
如果是NT系统,将向如下3个启动项中添加键值:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run
3、灰鸽子运行后,会创建三个病毒文件,IExplorer.exe,IExplorer.dll, IExplorer_Hook.dll,同时将IExplorer_Hook.dll注入到系统每个进程中。
4、在随机端口开设后门,等待攻击者远程连接。
四、清除方案:

1、使用安天木马防线可彻底清除此病毒(推荐)。
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置

chaochao0325
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux.BackDoor.Gates.5木马处理文档
11-13
生产使用的Linux.BackDoor.Gates.5木马处理文档!
Backdoor.Win32.Rbot病毒专杀
02-17
重新启动,打开工具直接绿色运行,本工具是经过在xp系统上测试过的,没有问题,win7还没有测试
遭遇beep.sys/Backdoor.Win32.Agent,DOVA/Backdoor.Win32.Hupigon,myRAT.rmvb/Trojan.Win32.Delf等2
caobihole
06-22 399
遭遇beep.sys/Backdoor.Win32.Agent,DOVA/Backdoor.Win32.Hupigon,myRAT.rmvb/Trojan.Win32.Delf等2 endurer 原创 2008-06-22 第1版 (继1) 到 http://purpleendurer.ys168.com 下载 FileInfo 和 bat_do。 用FileInfo 提取 pe_x...
免费刷会员和六钻工具?小心通过QQ传播的灰鸽子Backdoor.Win32.Gpigeon.gem
Purpleendurer@CSDN
05-18 2449
免费刷会员和六钻工具?小心通过QQ传播的灰鸽子Backdoor.Win32.Gpigeon.gemendurer原创2009-02-18 第1版某QQ群一个成员发了一个消息:免费刷会员和六钻。。请大家下载工具来刷。。下面是下载工具的网站 hxxp://*59.*32.128.135:2*80/%E5%88%B7%E4%BC%9A%E5%91%98%E5%92%8C%E5%85%AD%E9%92
进程名称
winds_lyh的博客
12-26 9734
下载进程 FlashBT.exe 网络电视 PPStream.exe QQ下载 QQDownload.exe PP狗 PPGou.exe 脱兔 TuoTu.exe BT下载 BitTorrent.exe BitSpirit.exe 快车 FlashGet.exe VAGAA下载 vagaa.exe vagaa_.exe VAxplorer.exe 迅雷5 Thunder5.exe 迅雷4 Thun...
危险进程总结
joyareslee的专栏
10-13 7452
危险进程集粹(235个,详细说明)<br />一般电脑都有20-33个进程在后台运行着。有的占用了太多的系统资源,造成机器运行缓慢。更为不幸的是,一些进程是间谍软件和木马,如此你的隐私和机器的控制权会被黑客所掌控。<br />不安全风险进程A180ax.exe    <br />是注册为TROJ.ISTZONE.H的下载器。这个进程通常与其它病毒捆绑,用于下载其它病毒到您的计算机上。a.exe <br />W32.Ahlem.A@mm蠕虫程序,通过电子邮件传播感染到您的计算机上。actalert.exe
各种进程名称
热门推荐
lniwn
08-26 1万+
下载进程 FlashBT.exe 网络电视  PPStream.exe QQ下载  QQDownload.exe PP狗 PPGou.exe 脱兔 TuoTu.exe BT下载 BitTorrent.exe BitSpirit.exe 快车 Flash
2006危险进程集粹
weixin_34342207的博客
04-09 164
危险进程集粹(235个,详细说明)危险进程集粹(235个,详细说明)一般电脑都有20-33个进程在后台运行着。有的占用了太多的系统资源,造成机器运行缓慢。更为不幸的是,一些进程是间谍软件和***,如此你的隐私和机器的控制权会被***所掌控。 不安全风险进程A180ax.exe 是注册为TROJ.ISTZONE.H的下载器。这个进程通常与其它病毒捆绑,用于下载其它病毒到您...
危险进程集粹(附说明)
weixin_34050519的博客
01-10 295
危险进程集粹(附说明) 2007-07-17 03:44 一般电脑都有20-33个进程在后台运行着。有的占用了太多的系统资源,造成机器运行缓慢。更为不幸的是,一些进程是间谍软件和***,如此你的隐私和机器的控制权会被***所掌控。 不安全风险进程 A 180ax.exe 是注册为TROJ.ISTZONE.H的下载器。这个进程通常与其它病毒捆绑,用于下载其...
php_backdoor.php
06-11
大马文件
ident_backdoor.nasl
最新发布
11-08
ident_backdoor
account_backdoor.nasl
11-08
account_backdoor
eclipse的安装及其插件
01-16 3819
     我安装的eclipse版本是3.11,现在最新版是3.2了。在插件的安装方面吃了很多的苦头。开始只是知道下载了插件之后拷贝到相应的目录,最后发现太难管理了,最好的办法还是用links的安装方法。     对于用links的安装方法要注意几点:1. 插件可以分别安装在多个自定义的目录。 2. 一个自定义目录可以安装多个插件。 3. link文件的文件名及扩展名可以取任意名
轻松修改网卡MAC地址
10-18 2390
 如果是Windows2000/XP的用户,则可以使用免费MAC地址修改软件SMAC。运行SMAC后,窗口的列表框列出计算机上正处于工作状态的网卡。选定要修改的网卡后,在列表框下方的六个输入框输入新的MAC地址后,点击右侧的“Update MAC(修改MAC地址)”,即可完成MAC地址的修改。  修改MAC地址的工具有很多,但大多数都只适用于Windows 2000/XP,笔者在这里推荐用“超
灰鸽子的查杀办法--了灰鸽子,从网上发现很难杀,只能手动杀
10-06 2236
灰鸽子(Backdoor.Huigezi)作者现在还没有停止对灰鸽子的开发,再加上有些人为了避开杀毒软件的查杀故意给灰鸽子加上各种不同的壳,造成现在网络上不断有新的灰鸽子变种出现。如果您的机器出现灰鸽子症状但用杀毒软件查不到,那很可能是了还没有被截获的新变种。这个时候,就需要手工杀掉灰鸽子。   手工清除灰鸽子并不难,重要的是我们必须懂得它的运行原理。  灰鸽子的运行原理  灰鸽子木马分两部分:
用虚拟网卡突破网关
10-18 1750
 首先要确保你的计算机能上互联网,安装虚拟网卡后,将你的虚拟网卡联结到一个可以访问互联网的虚拟HUB上,通过虚拟网卡就可以上网,此时,虚拟网卡并不需要设置IP与MAC的绑定。   如果你的计算机用自身的IP和MAC绑定无法上网,就说明你的机器被网关或代理服务器或防火墙屏蔽了,这时,如果你能访问局域网某一台可以上互联网的电脑的话,你可以在这台电脑安装虚拟网卡和虚拟HUB,并在这台电脑上装上代理服
介绍一篇关于session的好文章,写的很详细(jsp-servlet 技术)
01-11 1701
摘要:虽然session机制在web应用程序被采用已经很长时间了,但是仍然有很多人不清楚session机制的本质,以至不能正确的应用这一技术。本文将详细讨论session的工作机制并且对在Java web application应用session机制时常见的问题作出解答。目录:一、术语session二、HTTP协议与状态保持三、理解cookie机制四、理解session机制五、理解javax.
用jspsmartupload 如何获得表单数据
05-23 1412
    最近在做项目的时候用jspsmartupload上传文件,但是发现一个问题,用request.getParameter("name") 不能获得表单的数据,最后终于解决,留篇文章。      原因很简单:因为你用jspsmartuploadsmart时post请求 的格式是multipart/form-data,即enctype="multipart/form-data" ,这和默
monitor_control.restrict_backdoor
09-17
monitor_control.restrict_backdoor是一种监控控制功能,用于限制后门的存在和使用。 在计算机系统,后门是指由开发人员或黑客留下的一种隐藏程序或功能,可以绕过正常的安全认证和访问控制,从而非法进入系统或...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值