Simone给我解释下灰鸽子上的一点问题````
的有关信息介绍如下:
灰鸽子(Backdoor.GrayBird.ad)运行后,主动打开后门端口(端口号不确定),攻击者对感染主机可进行远程控制。若服务端配置属自动上线型,则通过配置服务端时设定的URL,主动连接到远程攻击者并接受控制。 灰鸽子(Backdoor.GrayBird.ad)利用“反弹端口原理”,可穿过某些防火墙。远程攻击者连接成功后可监控服务端屏幕,截获感染主机的oicq、icq, 网络游戏,邮箱,上网账号等敏感信息,同时还可在服务端开启Socks5 及 FTP服务,并且具有修改文件、注册表功能,是一种危险性较高的木马。 灰鸽子(Backdoor.GrayBird.ad)运行后,会创建3个病毒文件,在安全模式下才可看到。 三、 行为分析: 1、灰鸽子运行后,会拷贝服务端到系统,存在于以下路径%System%, %Windows%, %temp%,服务端名称可能为 GrayPigeon.exe , GrayPigeon.bat , GrayPigeon.com, Winlogo.EXE, Windows.EXE,RAVMOND.EXE, SP00LSV.EXE, SVCH0ST.EXE 2、修改注册表并添加键值,从而达到随系统启动的目的: 如果是win9x系统,将向win.ini中添加键值。 如果是NT系统,将向如下3个启动项中添加键值: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 3、灰鸽子运行后,会创建三个病毒文件,IExplorer.exe,IExplorer.dll, IExplorer_Hook.dll,同时将IExplorer_Hook.dll注入到系统每个进程中。 4、在随机端口开设后门,等待攻击者远程连接。 四、清除方案: 1、使用安天木马防线可彻底清除此病毒(推荐)。2、手工清除请按照行为分析删除对应文件,恢复相关系统设置
