Gsuite cambia el nombre de dominio
Introducción y detección del virus Huigezi (Gpigeon) que se ha extendido recientemente por Internet.
Recientemente, muchos internautas han informado que hay un virus troyano llamado Grey Pigeon en sus máquinas. Este virus es muy rebelde y tiene diferentes nombres en distintos programas antivirus, como gpigen, Huigezi y Feutel. Es muy problemático borrarlo en la computadora, especialmente en 2005, cuando recién se desarrolló. Al interceptar la API del sistema Windows, se logran tres ocultaciones: ocultación de archivos de programa, ocultación de procesos y ocultación de servicios. Generalmente, el software antivirus no puede encontrar sus archivos de virus en modo normal, y mucho menos aquellos que han sido verificados y eliminados. Incluso el software antivirus es difícil de manejar, lo que causa dolores de cabeza a los usuarios. Este artículo presenta brevemente el principio de funcionamiento del virus de la paloma gris, los métodos de detección manual, los métodos de eliminación manual, las precauciones para prevenir infecciones, etc. La mayor parte del contenido proviene de Internet y lo recopilo, organizo y proceso yo. Si sus intereses han sido violados, indíquelo y lo corregiré de inmediato.
1. Introducción al virus de la paloma gris
La paloma gris es una puerta trasera famosa en China. En comparación con los glaciares y agujeros negros anteriores, se puede decir que Grey Pigeon es el epítome de la puerta trasera de China. Sus funciones ricas y poderosas, su operación flexible y su buen ocultamiento eclipsan a otras puertas traseras. La operación del cliente es simple y conveniente, lo que permite a los principiantes actuar como piratas informáticos. Gray Dove es un excelente software de control remoto cuando se utiliza en condiciones legales. Pero si lo usas para hacer algo ilegal, Grey Pigeon se convierte en una poderosa herramienta de piratería. Esto es como la pólvora, utilizada en diferentes situaciones, tiene diferentes efectos en los humanos. La introducción completa de Grey Pigeon solo puede ser aclarada por el propio autor, por lo que aquí solo puedo dar una breve introducción.
El cliente y el servidor de Gray Pigeon están escritos en Delphi. Los piratas informáticos utilizan programas cliente para configurar programas de servidor. La información configurable incluye principalmente el tipo de conexión (como espera de conexión o conexión activa), IP pública (nombre de dominio) utilizada para la conexión activa, contraseña de conexión, puerto utilizado, nombre del elemento de inicio, nombre del servicio, modo oculto del proceso, shell utilizado, agente, iconos, etc
Hay muchas formas para que el servidor se conecte al cliente, lo que puede envenenar a los usuarios en diversos entornos de red, incluidos los usuarios de LAN (que acceden a Internet a través de servidores proxy), los usuarios de redes públicas y los usuarios de acceso telefónico ADSL.
Aquí hay una introducción al servidor:
El nombre del archivo del servidor configurado es G_Server.exe (este es el valor predeterminado, pero se puede cambiar. ¿Ralentizar la carnicería? ¿Cómo? ¿No memoricé el programa "server.exe"? Los lectores pueden dar rienda suelta a su imaginación a través de métodos específicos, por lo que no entraré en detalles aquí
Después de ejecutar G_Server.exe, cópiese en el directorio de Windows (el directorio de Windows del disco del sistema en 98/xp y el directorio Winnt del disco del sistema en 2k/NT), y luego suelte G_Server.dll y G_Server_Hook.dll desde el cuerpo principal a Windows. Directorio Junto con el servidor Gray Pigeon, G_Server_Hook.dll es responsable de ocultar Gray Pigeon. Al interceptar las llamadas API del proceso, oculta los archivos de Gray Pigeon, las entradas del registro de servicios e incluso los nombres de los módulos en el proceso. se utilizan principalmente para atravesar archivos y atravesar entradas de registro y módulos de procesos transversales. Por lo tanto, a veces los usuarios sienten que están infectados, pero no se puede encontrar ninguna anomalía tras una inspección cuidadosa. Algunos Gray Pigeons liberarán un archivo adicional llamado G_ServerKey.dll para registrar el teclado. operaciones Este nombre no es fijo pero se puede personalizar.
Por ejemplo, cuando el nombre de archivo del servidor personalizado es A.exe, los archivos generados son A.exe, A.dll y A_Hook.dll
El archivo G_Server.exe en el directorio de Windows se registrará solo como servicio (el sistema 9X escribe el elemento de inicio del registro) y puede ejecutarse automáticamente cada vez que se enciende la computadora. Después de ejecutar, inicie G_Server.dll y G_Server_Hook.dll y salga automáticamente. El archivo G_Server.dll implementa la función de puerta trasera y se comunica con el cliente de control; G_Server_Hook.dll oculta el virus interceptando llamadas API. Por lo tanto, después de ser envenenado, no podemos ver el archivo del virus, ni podemos ver los servicios registrados por el virus. Con diferentes configuraciones del archivo del servidor Gray Pigeon, G_Server_Hook.dll a veces se adjunta al espacio de proceso de Explorer.exe y, a veces, a todos los procesos.
El autor de "Gray Pigeon" se ha esforzado mucho en cómo escapar de la detección del software antivirus. Dado que algunas funciones API han sido interceptadas, es difícil atravesar los archivos y módulos de Gray Pigeon en modo normal, lo que dificulta su detección y eliminación. También es muy problemático desinstalar la base de datos dinámica de Gray Pigeon para garantizar que el proceso del sistema no falle, lo que ha provocado la reciente proliferación de Gray Pigeon en Internet.
2. Detección manual de Gray Pigeon
Debido a que Gray Pigeon intercepta llamadas API, en modo normal, los archivos del programa del servidor y sus elementos de servicio registrados están ocultos, es decir, incluso si está configurado "Mostrar todos los archivos ocultos", no podrá verlo. Además, el nombre del archivo del servidor Gray Pigeon también se puede personalizar, lo que plantea ciertas dificultades a la detección manual.
Sin embargo, tras una cuidadosa observación, comprobamos que la detección de palomas grises sigue siendo regular. Del análisis anterior del principio operativo, podemos ver que no importa cuál sea el nombre del archivo del lado del servidor definido por el usuario, se generará un archivo que termina en "_hook.dll" en el directorio de instalación del sistema operativo. A través de esto podemos detectar manualmente el servidor Gray Pigeon con mayor precisión.
Debido a que Grey Pigeon se ocultará en modo normal, la operación de detección de Grey Pigeon debe realizarse en modo seguro. La forma de ingresar al modo seguro es iniciar la computadora. Antes de que el sistema llegue a la pantalla de inicio de Windows, presione la tecla F8 (o mantenga presionada la tecla Ctrl mientras inicia la computadora) y seleccione "Modo seguro" o "Modo seguro" en el menú de opciones de inicio que aparece.
1. Debido a que los archivos de Gray Pigeon tienen atributos ocultos, debes configurar la ventana para que muestre todos los archivos. Abra Mi PC, seleccione Herramientas - Opciones de carpeta, haga clic en Ver, desmarque la casilla antes de Ocultar archivos protegidos del sistema operativo, seleccione Mostrar todos los archivos y carpetas en Archivos y carpetas ocultos y haga clic en Aceptar.
2. Abra el "Archivo de búsqueda" de Windows, ingrese "_hook.dll" como nombre de archivo y seleccione el directorio de instalación de Windows como ubicación de búsqueda (el valor predeterminado es C:\windows para 98/ xp y C:\windows para 2k/NT) C:\Winnt).
3. Después de buscar, encontramos un archivo llamado Game_Hook.dll en el directorio de Windows (excluyendo los subdirectorios).
4. Según el principio de la paloma gris, sabemos si Game_Hook. DLL es un archivo de paloma gris. Hay archivos Game.exe y Game.dll en el directorio de instalación del sistema operativo. Abra el directorio de Windows y, efectivamente, encontrará estos dos archivos, así como un archivo GameKey.dll que registra las operaciones del teclado.
Después de estos pasos, básicamente se puede determinar que estos archivos son servidores de Gray Pigeon y se pueden borrar manualmente a continuación.
En tercer lugar, elimine las palomas grises manualmente
Después del análisis anterior, será fácil deshacerse de las palomas grises. Para borrar Gray Pigeon aún es necesario operar en modo seguro, que incluye principalmente dos pasos: 1. Borrar el servicio Gray Pigeon; eliminar los archivos de programa de Gray Pigeon.
Nota: Para evitar un mal funcionamiento, asegúrese de realizar una copia de seguridad antes de limpiar.
(1) Borrar el servicio Grey Pigeon
Tenga en cuenta que la eliminación del servicio Gray Pigeon debe completarse en el registro.
Los usuarios que no estén familiarizados con el registro deben pedirle a alguien que esté familiarizado con él que los ayude a operarlo. Para eliminar el servicio Gray Pigeon, primero debe hacer una copia de seguridad del registro o cambiar el nombre del archivo de registro en DOS puro y luego eliminar el servicio Gray Pigeon del registro. Porque los virus están asociados con archivos EXE.
Sistema 2000/XP:
1. Abra el Editor del Registro (haga clic en "Inicio" - "Ejecutar", ingrese "Regedit.exe" y confirme), abra HKEY _ Local_Machine \System\CurrentControlSet\Services Clave de registro.
2. Haga clic en Editar-Buscar, ingrese Game_Server en el destino de búsqueda, haga clic en Aceptar y busque el elemento de servicio de Gray Pigeon (en este caso, el nombre del elemento de servicio es diferente para todos).
3. Elimina todo el proyecto del servidor del juego.
Sistema 98/me:
En 9X, la Paloma Gris solo tiene un elemento inicial, por lo que eliminarla es más fácil. Ejecute el editor de registro y abra la clave de registro HKEY_Current_Users\Software\Microsoft\Windows\Current Version\Run, inmediatamente veremos una clave llamada Game.exe, así que simplemente elimine la clave Game.exe.
(2) Eliminar los archivos del programa Grey Pigeon
Eliminar los archivos del programa Gray Pigeon es muy sencillo. Simplemente elimine los archivos Game.exe, Game.dll, Game_Hook.dll y Gamekey.dll en el directorio de Windows en modo seguro y luego reinicie la computadora. En este punto, el servidor Gray Pigeon VIP 2005 ha sido limpiado.
El método anterior es adecuado para la mayoría de los troyanos Gray Pigeon y sus variantes, pero todavía hay algunas variantes que no se pueden detectar ni eliminar con este método. Al mismo tiempo, con el lanzamiento continuo de nuevas versiones de Gray Pigeon, el autor puede agregar algunos nuevos métodos de ocultación y métodos anti-eliminación, lo que dificulta cada vez más la detección y eliminación manual.
4. Precauciones para prevenir el virus Grey Pigeon
1. Instale parches del sistema (actualizaciones críticas, actualizaciones de seguridad y paquetes de servicio) a través de Windows Update, incluidos MS04-011, MS04-012, MS04-013, MS03-001, MS03-007 y MS07.
2. Establezca una contraseña compleja y segura para la cuenta del administrador del sistema, preferiblemente una combinación de letras, números y otros símbolos de más de 10 dígitos. También puede desactivar/eliminar algunas cuentas no utilizadas.
3. Actualice el software antivirus (base de datos de virus) con frecuencia y, si está permitido, configúrelo para que se actualice automáticamente todos los días. Instalar y utilizar correctamente el software de firewall de red. Los firewalls de red también pueden desempeñar un papel vital en el proceso antivirus y pueden bloquear eficazmente ataques de red no deseados e intrusiones de virus. Algunos usuarios de Windows pirateados no pueden instalar parches normalmente y están bastante indefensos. Es posible que estos usuarios deseen protegerse mediante el uso de un firewall de red.
4. Cierre algunos servicios innecesarios Si es posible, cierre los disfrutes * * * innecesarios, incluida la gestión de C$ y D$ * * *. Los usuarios completamente independientes pueden cerrar directamente el servicio del servidor. Estos se pueden desactivar utilizando un software de optimización como WinXP Explorer.
WinXP Manager 4.9.3 versión registrada en chino
/soft/data/soft/219.html
5. No abra ni ejecute programas desconocidos o sospechosos. Archivos y programas, como archivos adjuntos y complementos desconocidos en el correo electrónico.
5. Herramientas especiales de detección y eliminación de Huigezi (Gpigeon).
Nombre del software: herramienta especial de detección y eliminación de Gray Pigeon (Huigezi, Gpigeon)
Idioma de la interfaz: chino simplificado
Tipo de software: software doméstico
Entorno operativo: /Win9X/Me/WinNT/2000/XP/2003
Método de autorización: software libre
Tamaño del software: 414 KB
Licencia de software : ¡El software gratuito está desarrollado por Gray Pigeon Studio y es un limpiador especial para Gray Pigeon! Puede eliminar la versión VIP2005 del programa del servidor Gray Pigeon (incluido el servidor Gray Pigeon que no puede eliminarse con software antivirus), Gray Pigeon [versión oficial de Radiation] y la versión DLL del servidor.
Ejecute el archivo DelHgzvip2005Server.exe para borrar la versión VIP2005 del programa del servidor Gray Pigeon y ejecute el archivo un_hgzserver.exe para borrar la versión oficial de Gray Pigeon [versión oficial de Radiation] y la versión DLL del servidor. servidor de versión manual.
Dirección de descarga:
/soft/data/soft/875.html