Ahora escuché que el virus de la paloma gris es bastante poderoso. ¿Cuáles son sus características? Por favor, dígame 3Q.

Backdoor.Huigezi, backdoor.graybird, backdoor.gpigeon) es un backdoor muy conocido en China. En comparación con sus predecesores Glacier y Black Hole, se puede decir que Grey Pigeon es el maestro de las puertas traseras domésticas. Sus funciones ricas y poderosas, operaciones flexibles y buen ocultamiento eclipsan a otras puertas traseras. El funcionamiento sencillo y práctico del cliente permite a los principiantes convertirse en piratas informáticos. Cuando se usa legalmente, Gray Dove es un excelente software de control remoto. Pero si lo usas para hacer algo ilegal, Grey Pigeon se convierte en una herramienta de hacking muy poderosa. Esto es como la pólvora, utilizada en diferentes situaciones, produce diferentes efectos en los seres humanos. Quizás solo el autor de Grey Pigeon pueda dar una introducción completa a Grey Pigeon, por lo que aquí solo podemos dar una breve introducción. Tanto el cliente como el servidor de Gray Pigeon están escritos en Delphi. Los piratas informáticos utilizan el programa cliente para configurar el programa servidor. La información configurable incluye principalmente el tipo de conexión (como espera de conexión o conexión activa), IP pública (nombre de dominio) utilizada cuando se conecta activamente, contraseña de conexión, puerto utilizado, nombre del elemento de inicio, nombre del servicio, método de ocultación del proceso y shell utilizado, agentes. , íconos y más. El autor no ha dejado de desarrollar Gray Pigeon. Además, algunas personas añaden deliberadamente varios shells a Gray Pigeon para evitar ser controlados por el software antivirus. Como resultado, constantemente aparecen nuevas variantes de Gray Pigeon en Internet. Si su máquina tiene síntomas de paloma gris pero no puede ser detectada mediante un software antivirus, es probable que haya sido infectada por una nueva variante que aún no ha sido interceptada. En este momento, debes matar las palomas grises manualmente. El "Virus Gray Pigeon" se propaga con mucha fuerza. Muchas personas en 5Q usan el nombre del software antivirus Kaspersky para ocultar los virus que contiene. En particular, los archivos en paquetes autoextraíbles son los más peligrosos. se ejecuta automáticamente y elimina automáticamente el archivo fuente después de generar el programa troyano. El principio operativo del troyano Gray Pigeon se divide en dos partes: el cliente y el servidor. El hacker (llamémoslo así) controla el cliente y utiliza la configuración del cliente para generar un programa de servidor. El nombre del archivo del servidor por defecto es G_Server.exe, y luego los piratas informáticos propagan este troyano a través de varios canales (comúnmente conocido como plantar troyanos o abrir puertas traseras). Hay muchas formas de instalar troyanos. Por ejemplo, los piratas informáticos pueden vincularlo a una imagen y luego pretender ser una chica tímida y pasarle el troyano a través de QQ para engañarlo para que lo ejecute. También pueden crear una página web personal. engañarlo para que haga clic. Utilice las vulnerabilidades de IE para descargar el caballo de Troya en su máquina y ejecutarlo. También puede cargar el archivo en un sitio de descarga de software y pretender ser un software interesante para engañar a los usuarios para que lo descarguen... Debido a los muchos. variantes del virus Gray Pigeon, su nombre de archivo también ha cambiado mucho. La mayoría de los tipos descubiertos recientemente son (Backdoor.GPigeon.sgr), que es difícil de tratar. Se generan tres archivos de virus en el directorio% Windows%. el sistema infectado, a saber, G_Server.exe, G_Server.dll y G_Server_Hook.dll. Después de ejecutar G_Server.exe, se copia en el directorio de Windows (en 98/xp, es el directorio de Windows del disco del sistema, y ​​en 2k/NT, es el directorio Winnt del disco del sistema), y luego libera G_Server. .dll y G_Server_Hook.dll desde el cuerpo al directorio de Windows. Los tres archivos G_Server.exe, G_Server.dll y G_Server_Hook.dll cooperan entre sí para formar el servidor Gray Pigeon. Algunos Gray Pigeons lanzarán un archivo adicional llamado G_ServerKey.dll para registrar las operaciones del teclado. También tenga en cuenta que el nombre G_Server.exe no es fijo, se puede personalizar. Por ejemplo, cuando el nombre del archivo del servidor personalizado es A.exe, los archivos generados son A.exe, A.dll y A_Hook.dll. El archivo G_Server.exe en el directorio de Windows se registra como un servicio (el sistema 9X escribe el elemento de inicio del registro) y se ejecuta automáticamente cada vez que se enciende la computadora. Después de ejecutarse, G_Server.dll y G_Server_Hook.dll se inician y salen automáticamente. .

El archivo G_Server.dll implementa la función de puerta trasera y se comunica con el cliente de control; G_Server_Hook.dll oculta el virus interceptando llamadas API. Por lo tanto, después del envenenamiento, no podemos ver el archivo del virus ni los elementos de servicio registrados por el virus. Dependiendo de la configuración del archivo del servidor Gray Pigeon, G_Server_Hook.dll a veces se adjunta al espacio de proceso de Explorer.exe y, a veces, a todos los procesos. El virus Gray Pigeon se caracteriza por "tres ocultaciones": procesos ocultos, servicios ocultos y archivos de virus ocultos. Detección manual de Gray Pigeon, ya que Gray Pigeon intercepta llamadas API, en modo normal, los archivos del programa troyano y sus elementos de servicio registrados. están todos bloqueados, lo que significa que no puedes verlos incluso si configuras "Mostrar todos los archivos ocultos". Además, el nombre del archivo del servidor Gray Pigeon también se puede personalizar, lo que plantea ciertas dificultades a la detección manual. Sin embargo, tras una cuidadosa observación descubrimos que la detección de palomas grises sigue siendo regular. Del análisis anterior del principio operativo, podemos ver que no importa cuál sea el nombre del archivo personalizado del lado del servidor, generalmente se generará un archivo que termina en "_hook.dll" en el directorio de instalación del sistema operativo. A través de esto, podemos detectar manualmente el troyano Gray Pigeon con mayor precisión. Introducción a las características del virus Grey Pigeon Gray Pigeon (Backdoor.Huigezi, backdoor.graybird, backdoor.gpigeon) es una puerta trasera muy conocida en China. En comparación con sus predecesores Glacier y Black Hole, se puede decir que Grey Pigeon es el maestro de las puertas traseras domésticas. Sus funciones ricas y poderosas, operaciones flexibles y buen ocultamiento eclipsan a otras puertas traseras. El funcionamiento sencillo y práctico del cliente permite a los principiantes convertirse en piratas informáticos. Cuando se usa legalmente, Gray Dove es un excelente software de control remoto. Pero si lo usas para hacer algo ilegal, Grey Pigeon se convierte en una herramienta de hacking muy poderosa. Esto es como la pólvora, utilizada en diferentes situaciones, produce diferentes efectos en los seres humanos. Quizás solo el autor de Grey Pigeon pueda dar una introducción completa a Grey Pigeon, por lo que aquí solo podemos dar una breve introducción. Tanto el cliente como el servidor de Gray Pigeon están escritos en Delphi. Los piratas informáticos utilizan el programa cliente para configurar el programa servidor. La información configurable incluye principalmente el tipo de conexión (como espera de conexión o conexión activa), IP pública (nombre de dominio) utilizada cuando se conecta activamente, contraseña de conexión, puerto utilizado, nombre del elemento de inicio, nombre del servicio, método de ocultación del proceso y shell utilizado, agentes. , íconos y más. El autor no ha dejado de desarrollar Gray Pigeon. Además, algunas personas añaden deliberadamente varios shells a Gray Pigeon para evitar ser controlados por el software antivirus. Como resultado, constantemente aparecen nuevas variantes de Gray Pigeon en Internet. Si su máquina tiene síntomas de paloma gris pero no puede ser detectada mediante un software antivirus, es probable que haya sido infectada por una nueva variante que aún no ha sido interceptada. En este momento, debes matar las palomas grises manualmente. El "Virus Gray Pigeon" se propaga con mucha fuerza. Muchas personas en 5Q usan el nombre del software antivirus Kaspersky para ocultar los virus que contiene. En particular, los archivos en paquetes autoextraíbles son los más peligrosos. se ejecuta automáticamente y elimina automáticamente el archivo fuente después de generar el programa troyano. El principio operativo del troyano Gray Pigeon se divide en dos partes: el cliente y el servidor. El hacker (llamémoslo así) controla el cliente y utiliza la configuración del cliente para generar un programa de servidor. El nombre del archivo del servidor por defecto es G_Server.exe, y luego los piratas informáticos propagan este troyano a través de varios canales (comúnmente conocido como plantar troyanos o abrir puertas traseras). Hay muchas formas de instalar troyanos. Por ejemplo, un hacker puede vincularlo a una imagen y luego pretender ser una chica tímida y pasarte el troyano a través de QQ para engañarte para que lo ejecutes. También puede crear una página web personal; para engañarlo para que haga clic. Utilice las vulnerabilidades de IE para descargar el caballo de Troya en su máquina y ejecutarlo. También puede cargar el archivo en un sitio de descarga de software y pretender ser un software interesante para engañar a los usuarios para que lo descarguen... Debido a Muchas variantes del virus Gray Pigeon, su nombre de archivo también ha cambiado mucho. La mayoría de los tipos descubiertos recientemente son (Backdoor.GPigeon.sgr), que es difícil de tratar. Se generan tres archivos de virus en el directorio %Windows%. del sistema infectado, a saber, G_Server.exe, G_Server.dll y G_Server_Hook.dll.

Después de ejecutar G_Server.exe, se copia en el directorio de Windows (en 98/xp, es el directorio de Windows del disco del sistema, y ​​en 2k/NT, es el directorio Winnt del disco del sistema), y luego libera G_Server. .dll y G_Server_Hook.dll desde el cuerpo al directorio de Windows. Los tres archivos G_Server.exe, G_Server.dll y G_Server_Hook.dll cooperan entre sí para formar el servidor Gray Pigeon. Algunos Gray Pigeons lanzarán un archivo adicional llamado G_ServerKey.dll para registrar las operaciones del teclado. También tenga en cuenta que el nombre G_Server.exe no es fijo, se puede personalizar. Por ejemplo, cuando el nombre del archivo del servidor personalizado es A.exe, los archivos generados son A.exe, A.dll y A_Hook.dll. El archivo G_Server.exe en el directorio de Windows se registra como un servicio (el sistema 9X escribe el elemento de inicio del registro) y se ejecuta automáticamente cada vez que se enciende la computadora. Después de ejecutarse, G_Server.dll y G_Server_Hook.dll se inician y salen automáticamente. . El archivo G_Server.dll implementa la función de puerta trasera y se comunica con el cliente de control; G_Server_Hook.dll oculta el virus interceptando llamadas API. Por lo tanto, después del envenenamiento, no podemos ver el archivo del virus ni los elementos de servicio registrados por el virus. Dependiendo de la configuración del archivo del servidor Gray Pigeon, G_Server_Hook.dll a veces se adjunta al espacio de proceso de Explorer.exe y, a veces, a todos los procesos. El virus Gray Pigeon se caracteriza por "tres ocultaciones": procesos ocultos, servicios ocultos y archivos de virus ocultos. Detección manual de Gray Pigeon, ya que Gray Pigeon intercepta llamadas API, en modo normal, los archivos del programa troyano y sus elementos de servicio registrados. están todos bloqueados, lo que significa que no puedes verlos incluso si configuras "Mostrar todos los archivos ocultos". Además, el nombre del archivo del servidor Gray Pigeon también se puede personalizar, lo que plantea ciertas dificultades a la detección manual. Sin embargo, tras una cuidadosa observación descubrimos que la detección de palomas grises sigue siendo regular. Del análisis anterior del principio operativo, se puede ver que no importa cuál sea el nombre del archivo personalizado del lado del servidor, generalmente se generará un archivo que termina en "_hook.dll" en el directorio de instalación del sistema operativo. A través de esto, podemos detectar manualmente el troyano Gray Pigeon con mayor precisión.