Red de conocimiento informático - Consumibles informáticos - ¿Cómo matar el virus de la paloma gris? ¿Cuál es su daño?

¿Cómo matar el virus de la paloma gris? ¿Cuál es su daño?

En cuanto a la introducción y eliminación del virus Grey Pigeon (Huigezi, Gpigeon) que ha estado inundando Internet recientemente, todos pueden aprender de él

Recientemente, muchos internautas han informado que sus máquinas han sido infectadas por un virus llamado Gray Pigeon Trojan virus, este virus es muy travieso y tiene diferentes nombres en diferentes programas antivirus, como: Gpigeon, Huigezi, Feutel. Es muy problemático eliminarlo del sistema. computadora, especialmente cuando se desarrolló recientemente en 2005, al interceptar el sistema Windows La API implementa la ocultación de archivos de programa, ocultación de procesos y ocultación de servicios. Generalmente, el software antivirus no puede encontrar sus archivos de virus en modo normal, y mucho menos detectarlos y eliminarlos. Incluso el software antivirus es difícil de manejar, lo que supone un dolor de cabeza aún mayor para los usuarios. Este artículo presenta brevemente el principio de funcionamiento del virus Gray Pigeon, los métodos de detección manual, los métodos de eliminación manual, las precauciones para prevenir infecciones, etc. La mayor parte del contenido proviene de Internet y lo recopilo, organizo y proceso. Si infringe sus intereses, indíquelo y lo corregiré de inmediato.

1. Introducción al virus de la paloma gris

La paloma gris es una puerta trasera muy conocida en China. En comparación con sus predecesores Glacier y Black Hole, se puede decir que Grey Pigeon es el maestro de las puertas traseras domésticas. Sus funciones ricas y poderosas, operaciones flexibles y buen ocultamiento eclipsan a otras puertas traseras. El funcionamiento sencillo y práctico del cliente permite a los principiantes convertirse en piratas informáticos. Cuando se usa legalmente, Gray Dove es un excelente software de control remoto. Pero si lo usas para hacer algo ilegal, Grey Pigeon se convierte en una herramienta de hacking muy poderosa. Esto es como la pólvora, utilizada en diferentes situaciones, produce diferentes efectos en los seres humanos. Quizás solo el autor de Grey Pigeon pueda dar una introducción completa a Grey Pigeon, por lo que aquí solo podemos dar una breve introducción.

El cliente y el servidor de Gray Pigeon están escritos en Delphi. Los piratas informáticos utilizan el programa cliente para configurar el programa servidor. La información configurable incluye principalmente el tipo de conexión (como espera de conexión o conexión activa), IP pública (nombre de dominio) utilizada cuando se conecta activamente, contraseña de conexión, puerto utilizado, nombre del elemento de inicio, nombre del servicio, método de ocultación del proceso y shell utilizado, agentes. , íconos y más.

Hay muchas formas de conectar el servidor al cliente, por lo que los usuarios de diversos entornos de red pueden resultar infectados, incluidos los usuarios de LAN (que acceden a Internet a través de servidores proxy), los usuarios de redes públicas y los usuarios de acceso telefónico ADSL. .

A continuación se presenta el servidor:

El nombre del archivo del servidor configurado es G_Server.exe (este es el valor predeterminado, por supuesto, también se puede cambiar) No hay G_Server.exe Los lectores pueden usar su imaginación para determinar el método específico.

Después de ejecutar G_Server.exe, cópielo en el directorio de Windows (el directorio de Windows del disco del sistema en 98/xp, el directorio Winnt. disco del sistema en 2k/NT), y luego libere G_Server.dll y G_Server_Hook.dll del cuerpo al directorio de Windows. Coopera con los tres archivos G_Server_Hook.dll para formar el servidor Gray Pigeon. G_Server_Hook.dll es responsable de ocultar Gray. Los archivos de Pigeon, las entradas de registro de servicios e incluso el nombre del módulo en el proceso interceptan las llamadas API del proceso. Las funciones interceptadas se utilizan principalmente para atravesar archivos, atravesar entradas de registro y atravesar módulos de proceso. han sido infectados, pero tras una inspección cuidadosa, no pueden encontrar ninguna anomalía. El archivo llamado G_ServerKey.dll se usa para registrar las operaciones del teclado. Tenga en cuenta que el nombre G_Server.exe no se puede personalizar. El archivo del servidor se llama A.exe, el archivo generado es A.exe, A.dll y A_Hook.dll.

El archivo G_Server.exe en el directorio de Windows se registra como un servicio (el sistema 9X escribe el elemento de inicio del registro) y puede ejecutarse automáticamente cada vez que se enciende la computadora. Después de ejecutar, G_Server.dll. y G_Server_Hook.dll se iniciará y se cerrará automáticamente. El archivo G_Server.dll implementa la función de puerta trasera y se comunica con el cliente de control; G_Server_Hook.dll oculta el virus interceptando llamadas API. Por lo tanto, después del envenenamiento, no podemos ver el archivo del virus ni los elementos de servicio registrados por el virus. Dependiendo de la configuración del archivo del servidor Gray Pigeon, G_Server_Hook.dll a veces se adjunta al espacio de proceso de Explorer.exe y, a veces, a todos los procesos.

El autor de Grey Pigeon dedicó mucho esfuerzo a cómo escapar de la detección del software antivirus. Dado que algunas funciones API fueron interceptadas, fue difícil atravesar los archivos y módulos de Gray Pigeon en modo normal, lo que provocó dificultades en la detección y eliminación. También es muy problemático desinstalar la biblioteca dinámica de Gray Pigeon y asegurarse de que el proceso del sistema no falle, lo que ha provocado la reciente proliferación de Gray Pigeon en Internet.

2. Detección manual de Gray Pigeon

Debido a que Gray Pigeon intercepta llamadas API, los archivos del programa del servidor y sus elementos de servicio registrados están ocultos en modo normal, es decir, "no puedes". No los veo incluso si configura "Mostrar todos los archivos ocultos". Además, el nombre del archivo del servidor Gray Pigeon también se puede personalizar, lo que plantea ciertas dificultades a la detección manual.

Sin embargo, tras una cuidadosa observación, comprobamos que la detección de palomas grises sigue siendo regular. Del análisis anterior del principio operativo, se puede ver que no importa cuál sea el nombre del archivo personalizado del lado del servidor, generalmente se generará un archivo que termina en "_hook.dll" en el directorio de instalación del sistema operativo. A través de esto, podemos detectar manualmente el servidor de la paloma gris con mayor precisión.

Dado que las palomas grises se esconden en el modo normal, la operación de detección de palomas grises debe realizarse en modo seguro. El método para ingresar al modo seguro es: inicie la computadora, presione la tecla F8 antes de que el sistema ingrese a la pantalla de inicio de Windows (o mantenga presionada la tecla Ctrl al iniciar la computadora) y seleccione "Modo seguro" o "Modo seguro" en el menú de opciones de arranque que aparece.

1. Dado que el archivo Gray Pigeon tiene atributos ocultos, debe configurar Windows para que muestre todos los archivos. Abra "Mi PC", seleccione el menú "Herramientas" - "Opciones de carpeta", haga clic en "Ver", desmarque "Ocultar archivos protegidos del sistema operativo" y seleccione "Ocultar archivos y carpetas". Seleccione "Mostrar todos los archivos y carpetas" y haga clic "DE ACUERDO".

" border=0 gt;

2. Abra el "Archivo de búsqueda" de Windows, ingrese "_hook.dll" como nombre del archivo y seleccione el directorio de instalación de Windows como ubicación de búsqueda (el valor predeterminado 98/xp es C:\windows, 2k/NT es C:\Winnt

3. Después de buscar, encontramos un archivo llamado Game_Hook.dll en el directorio de Windows (excluyendo los subdirectorios).

4. Según el análisis del principio de Gray Pigeon, sabemos que si Game_Hook.DLL es un archivo Gray Pigeon, también habrá archivos Game.exe y Game.dll en el sistema operativo. directorio de instalación del sistema. Como era de esperar, están estos dos archivos, y también hay un archivo GameKey.dll para registrar las operaciones del teclado

" border=0 gt;

Después de estos. Pasos, básicamente hemos terminado. Se puede determinar que estos archivos son el servidor Gray Pigeon y puede borrarlos manualmente a continuación.

3. Eliminación manual de palomas grises.

Después del análisis anterior, es muy fácil eliminar las palomas grises.

Para borrar Gray Pigeon, aún necesita operar en modo seguro. Hay dos pasos principales: 1. Borrar el servicio de Grey Pigeon. 2. Eliminar los archivos del programa Gray Pigeon.

Nota: Para evitar un mal uso, asegúrese de realizar una copia de seguridad antes de borrar.

(1) Servicio de limpieza de palomas grises

Tenga en cuenta que el servicio de limpieza de palomas grises debe completarse en el formulario de registro. Los internautas que no estén familiarizados con el formulario de registro deben preguntarle a alguien. que esté familiarizado con él para obtener ayuda Para borrar el servicio Gray Pigeon, primero debe hacer una copia de seguridad del registro o cambiar el nombre del archivo de registro en DOS puro y luego eliminar el servicio Gray Pigeon del registro. Debido a que los virus se asociarán con archivos EXE

sistema 2000/XP:

1 Abra el Editor del Registro (haga clic en "Inicio" - "Ejecutar" e ingrese "Regedit.exe", OK.), abra la clave de registro HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services.

2. Haga clic en el menú "Editar" -> "Buscar", ingrese "game.exe" en "Buscar destino", haga clic en Aceptar, podemos encontrar el elemento de servicio de Gray Pigeon (este ejemplo es Game_Server). , cada uno El nombre de este elemento de servicio es diferente para los individuos).

" border=0 gt;

3. Elimina todo el elemento Game_Server.

Sistema 98/me:

Bajo 9X, Solo hay un elemento de inicio para Gray Pigeon, por lo que es más fácil de limpiar. Ejecute el editor de registro y abra el elemento HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run. Inmediatamente vemos un elemento llamado Game.exe. the item.

" border=0 gt;

(2) Eliminar el archivo de programa Gray Pigeon

Eliminar el archivo de programa Gray Pigeon es muy simple, solo Debe eliminar los archivos Game.exe, Game.dll, Game_Hook.dll y Gamekey.dll en el directorio de Windows en modo seguro y luego reiniciar la computadora. En este punto, el servidor Gray Pigeon VIP 2005 ha sido limpiado.

El método presentado anteriormente es aplicable a la mayoría de los troyanos Gray Pigeon y sus variantes que hemos visto. Sin embargo, todavía hay muy pocas variantes que no se pueden detectar y eliminar con este método. Al mismo tiempo, con el lanzamiento continuo de nuevas versiones de Gray Pigeon, el autor puede agregar algunos nuevos métodos de ocultación y métodos anti-eliminación, lo que hace cada vez más difícil detectarlo y eliminarlo manualmente.

4. Asuntos que requieren atención para prevenir el virus de la paloma gris

1. Instalar parches en el sistema. Instale parches del sistema (actualizaciones críticas, actualizaciones de seguridad y paquetes de servicio) a través de Windows Update, incluidos MS04-011, MS04-012, MS04-013, MS03-001, MS03-007, MS03-049, MS04-032, etc. ampliamente utilizado, por lo que es un parche muy necesario

2. Establezca una contraseña compleja y segura para la cuenta del administrador del sistema, preferiblemente de más de 10 caracteres, también puede utilizar una combinación de letras, números y otros símbolos; deshabilítelo/Elimine algunas cuentas no utilizadas

3. Actualice el software antivirus (base de datos de virus) con frecuencia. Si la configuración lo permite, puede configurarlo para que se actualice automáticamente todos los días. Instalar y utilizar correctamente el software de firewall de red. Los firewalls de red también pueden desempeñar un papel vital en el proceso antivirus y pueden bloquear eficazmente los ataques de la red y las intrusiones de virus. Algunos usuarios de Windows pirateados no pueden instalar parches normalmente, lo cual es bastante inútil. Es posible que estos usuarios deseen utilizar firewalls de red para cierta protección.

4. Si las condiciones lo permiten, no es necesario. *** El bono también incluye C$, D$ y otros bonos de gestión.

Los usuarios completamente independientes pueden cerrar directamente el servicio del Servidor. Estos se pueden desactivar utilizando un software de optimización como WinXP Manager.

WinXP Manager v4.9.3 versión registrada en chino

5. No abra ni ejecute archivos y programas desconocidos o sospechosos, como archivos adjuntos extraños en correos electrónicos, programas complementarios, etc.

5. Herramienta especial de detección y eliminación para Huigezi y Gpigeon

Nombre del software: Herramienta especial de detección y eliminación para Huigezi y Gpigeon

Idioma de la interfaz: chino simplificado

Tipo de software: Software doméstico

Entorno operativo: /Win9X/Me/WinNT/2000/XP/2003

Método de autorización: Software libre

Tamaño del software: 414 KB

Introducción del software: Desarrollado por Gray Pigeon Studio, es un limpiador especial para Gray Pigeon. Puede borrar la versión VIP2005 del programa del servidor Gray Pigeon (incluido el software antivirus que no se puede eliminar). asesinado) Servidor Gray Pigeon) y Gray Pigeon [versión oficial de Fallout] y servidor de versión DLL servidor de versión mano a mano

Ejecute el archivo DelHgzvip2005Server.exe para borrar la versión VIP2005 del programa del servidor Gray Pigeon y ejecute el archivo un_hgzserver.exe Borre Grey Pigeon [versión oficial de Fallout] y la versión DLL del servidor de la mano con el servidor