病毒名称: Backdoor.GrayBird.ad
中文名称: 灰鸽子
病毒类型: 木马
文件长度:382 KB
感染系统: Windows9x以上的所有版本
编写语言: Delphi 6
加壳类型:TeLock
二、病毒描述:
灰鸽子(Backdoor.GrayBird.ad)运行后,主动打开后门端口(端口号不确定),攻击者对感染主机可进行远程控制。若服务端配置属自动上线型,则通过配置服务端时设定的URL,主动连接到远程攻击者并接受控制。
灰鸽子(Backdoor.GrayBird.ad)利用“反弹端口原理”,可穿过某些防火墙。远程攻击者连接成功后可监控服务端屏幕,截获感染主机的oicq、icq, 网络游戏,邮箱,上网账号等敏感信息,同时还可在服务端开启Socks5 及 FTP服务,并且具有修改文件、注册表功能,是一种危险性较高的木马。
灰鸽子(Backdoor.GrayBird.ad)运行后,会创建3个病毒文件,在安全模式下才可看到。
三、 行为分析:
1、灰鸽子运行后,会拷贝服务端到系统,存在于以下路径%System%, %Windows%, %temp%,服务端名称可能为
GrayPigeon.exe , GrayPigeon.bat , GrayPigeon.com, Winlogo.EXE, Windows.EXE,RAVMOND.EXE, SP00LSV.EXE, SVCH0ST.EXE
2、修改注册表并添加键值,从而达到随系统启动的目的:
如果是win9x系统,将向win.ini中添加键值。
如果是NT系统,将向如下3个启动项中添加键值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
3、灰鸽子运行后,会创建三个病毒文件,IExplorer.exe,IExplorer.dll, IExplorer_Hook.dll,同时将IExplorer_Hook.dll注入到系统每个进程中。
4、在随机端口开设后门,等待攻击者远程连接。
四、清除方案:
1、使用安天木马防线可彻底清除此病毒(推荐)。
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
NOTE:灰鸽子的新变种CJ(Win32.Hack.Huigezi.cj)
|
