1. 首頁 > 生活經驗 > >

病毒簡介行為描述 Backdoor Graybird是干什么的

經驗分享生活經驗

backdoor.graybird編輯
backdoor.graybird
Backdoor.GrayBird.ad (灰鴿子)服務端 運行后會打開后門端口,等待攻擊者的遠程控制 。如果服務端 采用自動上線配置,通過生成服務端時設定的 URL ,主動連接到遠程攻擊者接受控制,因為其利用“反彈端口原理” ,所以可穿過某些防火墻 。
目錄
1病毒簡介2行為描述3手動修改
病毒簡介
編輯
攻擊者連接成功后便可 監控服務端屏幕,截獲 oicq,icq, 及網絡游戲,郵箱,上網賬號等敏感信息,并且具有讀寫文件,修改注冊表功能,同時還可在服務端開啟 Socks5 及 FTP 服務,是一種危險性較高的木馬 。
行為描述
編輯
拷貝服務端到系統,路徑可能為 %System%, %Windows%, %temp% ,服務端名稱可能為GrayPigeon.exe, GrayPigeon.bat, GrayPigeon, Winlogo.EXE, Windows.EXE,RAVMOND.EXE, SP00LSV.EXE, SVCH0ST.EXE
向注冊表添加鍵值,隨系統啟動:
如果是 win9x 系統,將向 win.ini 中添加鍵值 。
在隨機端口開設后門,等待攻擊者遠程連接 。
你可以去下個最新的MCAFEE來殺掉它,MCAFEE是灰鴿子的克星!
手動修改
編輯
1.若是98/me,重啟進安全模式,若是2000/xp,用任務管理器結束Svch0st.exe進程(看清與系統進程svchost.exe名稱上的區別,可別弄錯了啊) 。
2.運行殺毒軟件進行全面掃描
3.刪除以下鍵值:
1)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
下的
“svchost”=”%System%\Svch0st.exe”
“winlogon”=”%System%\Winlogon.exe”
“system”=”%System%\Explorer.exe”
2)(對于Windows NT/2000/XP)
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
下的
“run”=”%system%\svch0st.EXE”
對于Windows NT/2000/XP,至此一切OK!
4.(對于Windows98/Me)
1)(僅對于Me)
刪除C:\Windows\Recent folder文件夾下的Win.ini文件
2)開始-運行,edit c:\windows\win.ini,
在[windows]區域中,找到類似
【病毒簡介行為描述 Backdoor Graybird是干什么的】run=C:\WINDOWS\SYSTEM\SVCH0ST.EXE 的一項,刪除之,保存退出 。
呵呵~~~~~~~~問題解決了嗎?