Simone什么是Backdoor.Graybird?
的有关信息介绍如下:
病毒简介: Backdoor.GrayBird.ad ( 灰鸽子)服务端 运行后会打开后门端口,等待攻击者的远程控制。如果服务端 采用自动上线配置,通过生成服务端时设定的 URL ,主动连接到远程攻击者接受控制,因为其利用 “ 反弹端口原理 ” ,所以可穿过某些防火墙。 攻击者连接成功后便可 监控服务端屏幕,截获 oicq,icq, 及网络游戏,邮箱,上网账号等敏感信息,并且具有读写文件,修改注册表功能, 同时还可在服务端开启 Socks5 及 FTP 服务,是一种危险性较高的木马。 行为描述:团洞 拷贝服务端到系统,路径可能为 %System%, %Windows%, %temp% ,服务端名称可能为GrayPigeon.exe, GrayPigeon.bat, GrayPigeon.com, Winlogo.EXE, Windows.EXE,RAVMOND.EXE, SP00LSV.EXE, SVCH0ST.EXE 向注册表添加键值,随系统启动: 如果是 NT 系统,将向如下 3 个启动项中添加键值: HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunServices HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run 如果是 win9x 系统,将向 win.ini 中添加键值。 在随机端口开设后门,等待攻击者远程连接。 你可以去下个最新的MCAFEE来杀掉它,MCAFEE是灰鸽子的克星! 手动修改: 1.若是98/me,重启进安全模式,若是2000/xp,用任务管理器结束Svch0st.exe进程。 2.运行杀毒软件进行全面扫描 3.删除以下键值: 1) HKEY_LOCAL_MACHINE\\逗败SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunServices HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run 下的 \"svchost\"=\"%System%\\Svch0st.exe\" \"塌指枯winlogon\"=\"%System%\\Winlogon.exe\" \"system\"=\"%System%\\Explorer.exe\" 2)(对于Windows NT/2000/XP) HKEY_CURRENT_USER\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Windows 下的 \"run\"=\"%system%\\svch0st.EXE\" 对于Windows NT/2000/XP,至此一切OK! 4.(对于Windows98/Me) 1)(仅对于Me) 删除C:\\Windows\\Recent folder文件夹下的Win.ini文件 2)开始-运行,edit c:\\windows\\win.ini, 在[windows]区域中,找到类似 run=C:\\WINDOWS\\SYSTEM\\SVCH0ST.EXE 的一项,删除之,保存退出。
