病毒简介:
backdoor.graybird.ad(灰鸽子)服务端运行后会打开后门端口,等待攻击者的远程控制。如果服务端采用自动上线配置,通过生成服务端时设定的url,主动连接到远程攻击者接受控制,因为其利用“反弹端口原理”,所以可穿过某些防火墙。
攻击者连接成功后便可监控服务端屏幕,截获oicq,icq,及网络游戏,邮箱,上网账号等敏感信息,并且具有读写文件,修改注册表功能,同时还可在服务端开启socks5及ftp服务,是一种危险性较高的木马。
行为描述:
拷贝服务端到系统,路径可能为%system%,%windows%,%temp%,服务端名称可能为graypigeon.exe,graypigeon.bat,graypigeon.com,winlogo.exe,windows.exe,ravmond.exe,sp00lsv.exe,svch0st.exe
向注册表添加键值,随系统启动:
如果是nt系统,将向如下3个启动项中添加键值:
hkey_local_machine\\software\\microsoft\\windows\\currentversion\\run
hkey_local_machine\\software\\microsoft\\windows\\currentversion\\runservices
hkey_current_user\\software\\microsoft\\windows\\currentversion\\run
如果是win9x系统,将向win.ini中添加键值。
在随机端口开设后门,等待攻击者远程连接。
你可以去下个最新的mcafee来杀掉它,mcafee是灰鸽子的克星!
手动修改:
1.若是98/me,重启进安全模式,若是2000/xp,用任务管理器结束svch0st.exe进程(看清与系统进程svchost.exe名称上的区别,可别弄错了啊)。
2.运行杀毒软件进行全面扫描
3.删除以下键值:
1)
hkey_local_machine\\software\\microsoft\\windows\\currentversion\\run
hkey_local_machine\\software\\microsoft\\windows\\currentversion\\runservices
hkey_current_user\\software\\microsoft\\windows\\currentversion\\run
下的
\"svchost\"=\"%system%\\svch0st.exe\"
\"winlogon\"=\"%system%\\winlogon.exe\"
\"system\"=\"%system%\\explorer.exe\"
2)(对于windowsnt/2000/xp)
hkey_current_user\\software\\microsoft\\windowsnt\\currentversion\\windows
下的
\"run\"=\"%system%\\svch0st.exe\"
对于windowsnt/2000/xp,至此一切ok!
4.(对于windows98/me)
1)(仅对于me)
删除c:\\windows\\recentfolder文件夹下的win.ini文件
2)开始-运行,editc:\\windows\\win.ini,
在[windows]区域中,找到类似
run=c:\\windows\\system\\svch0st.exe的一项,删除之,保存退出。
呵呵~~~~~~~~问题解决了吗?