¿Cuál es la paloma gris de la que todo el mundo habla a menudo?
Categoría: Computadora/Red>> Antivirus
Análisis:
El "Virus de la Paloma Gris" se ha estado propagando muy mal recientemente y hay muchos gente en 5Q En nombre del lanzamiento del software antivirus Kaspersky, los virus están ocultos en él, especialmente archivos en paquetes autoextraíbles. El programa de virus puede ejecutarse automáticamente después de la autoextracción y eliminar automáticamente el archivo fuente después de generar un programa de caballo de Troya. ! El autor del virus Gray Pigeon no ha dejado de desarrollar Gray Pigeon. Además, algunas personas añaden deliberadamente varios caparazones a Gray Pigeon para evitar ser eliminados por el software antivirus. Como resultado, constantemente aparecen nuevos virus en Internet. Aparece la variante paloma gris. Ahora, es posible que incluso la última versión del software antivirus no pueda escanearlo y eliminarlo por completo. Puede mostrar que se ha eliminado por completo con un antivirus normal, ¡pero el programa troyano puede generarse nuevamente después de reiniciar! ! ! ¡Aquí, combinado con mi experiencia real, le daré un método manual para eliminar el "Virus de la Paloma Gris"!
Cómo funciona Gray Pigeon
El troyano Gray Pigeon se divide en dos partes: cliente y servidor. El hacker (llamémoslo así) controla el cliente y utiliza la configuración del cliente para generar un programa de servidor. El nombre del archivo del servidor por defecto es G_Server.exe, y luego los piratas informáticos propagan este troyano a través de varios canales (comúnmente conocido como plantar troyanos o abrir puertas traseras). Hay muchas formas de instalar troyanos. Por ejemplo, un hacker puede vincularlo a una imagen y luego pretender ser una chica tímida y pasarte el troyano a través de QQ para engañarte para que lo ejecutes. También puede crear una página web personal; para engañarlo para que haga clic. Utilice las vulnerabilidades de IE para descargar el caballo de Troya en su máquina y ejecutarlo. También puede cargar el archivo en un sitio de descarga de software y pretender ser un software interesante para engañar a los usuarios para que lo descarguen...
Debido a las muchas variantes del virus Gray Pigeon, sus nombres de archivos también cambian mucho. El tipo descubierto más recientemente es (Backdoor.GPigeon.sgr), que es difícil de tratar. Se generan tres archivos de virus. en el directorio %Windows% del sistema infectado, a saber, G_Server.exe y G_Server.dll, G_Server_Hook.dll.
Después de ejecutarse, G_Server.exe se copia a sí mismo en el directorio de Windows (en 98/xp, es el directorio de Windows del disco del sistema, en 2k/NT, es el directorio Winnt del disco del sistema) y luego libera G_Server del cuerpo dll y G_Server_Hook.dll al directorio de Windows. Los tres archivos G_Server.exe, G_Server.dll y G_Server_Hook.dll cooperan entre sí para formar el servidor Gray Pigeon. Algunos Gray Pigeons lanzarán un archivo adicional llamado G_ServerKey.dll para registrar las operaciones del teclado.
Tenga en cuenta también que el nombre G_Server.exe no es fijo, se puede personalizar. Por ejemplo, cuando el nombre del archivo del servidor personalizado es A.exe, los archivos generados son A.exe, A.dll y. A_Hook.dll.
El archivo G_Server.exe en el directorio de Windows se registra como un servicio (el sistema 9X escribe el elemento de inicio del registro) y puede ejecutarse automáticamente cada vez que se enciende la computadora. Después de ejecutarlo, G_Server.dll. y G_Server_Hook.dll se iniciará y se cerrará automáticamente. El archivo G_Server.dll implementa la función de puerta trasera y se comunica con el cliente de control; G_Server_Hook.dll oculta el virus interceptando llamadas API. Por lo tanto, después del envenenamiento, no podemos ver el archivo del virus ni los elementos de servicio registrados por el virus. Dependiendo de la configuración del archivo del servidor Gray Pigeon, G_Server_Hook.dll a veces se adjunta al espacio de proceso de Explorer.exe y, a veces, a todos los procesos.
El virus Grey Pigeon se caracteriza por "tres ocultaciones": procesos ocultos, servicios ocultos y archivos de virus ocultos
Detección manual de Gray Pigeon
Debido a Pigeon intercepta llamadas API. En modo normal, los archivos del programa troyano y sus elementos de servicio registrados están ocultos, lo que significa que no puede verlos incluso si configura "Mostrar todos los archivos ocultos".
Además, el nombre del archivo del servidor Gray Pigeon también se puede personalizar, lo que plantea ciertas dificultades a la detección manual.
Sin embargo, tras una cuidadosa observación, comprobamos que la detección de palomas grises sigue siendo regular. Del análisis anterior del principio operativo, podemos ver que no importa cuál sea el nombre del archivo personalizado del lado del servidor, generalmente se generará un archivo que termina en "_hook.dll" en el directorio de instalación del sistema operativo. A través de esto, podemos detectar manualmente el troyano Gray Pigeon con mayor precisión.
Dado que las palomas grises se esconderán en el modo normal, la operación de detección de palomas grises debe realizarse en modo seguro. El método para ingresar al modo seguro es: iniciar la computadora, presionar la tecla F8 antes de que el sistema ingrese a la pantalla de inicio de Windows y seleccionar "Modo seguro" en el menú de opciones de inicio que aparece.
1. Dado que los archivos Gray Pigeon tienen atributos ocultos, debe configurar Windows para que muestre todos los archivos. Abra "Mi PC", seleccione el menú "Herramientas" - "Opciones de carpeta", haga clic en "Ver", desmarque "Ocultar archivos protegidos del sistema operativo" y seleccione "Ocultar archivos y carpetas". Seleccione "Mostrar todos los archivos y carpetas" y haga clic "DE ACUERDO".
2. Abra el "Archivo de búsqueda" de Windows, ingrese "*_hook.dll" como nombre de archivo y seleccione el directorio de instalación de Windows como ubicación de búsqueda (el valor predeterminado es C:\\windows para 98/xp y C:\\windows para 2k/NT) C:\\Winnt).
3. Después de la búsqueda, se encontró un archivo llamado G_Server_Hook.dll en el directorio de Windows (excluyendo los subdirectorios).
4. Según el análisis del principio de la paloma gris, sabemos que G_Server_Hook.dll es un archivo de la paloma gris, y también habrá archivos G_Server.exe y G_Server.dll en el directorio de instalación del sistema operativo. . Abra el directorio de Windows y, efectivamente, encontrará estos dos archivos, así como un archivo G_ServerKey.dll que se utiliza para registrar las operaciones del teclado.
[Probé lo anterior, pero no conocía el sistema y no sabía cómo operarlo, así que no pude encontrarlo. Más tarde descargué un eliminador de troyanos para WINDOWS. escaneé el disco duro y lo encontré. Publique todos los archivos troyanos]
Después de estos pasos, básicamente puede determinar que estos archivos son troyanos Gray Pigeon y puede eliminarlos manualmente a continuación. Eliminación manual de palomas grises
Después del análisis anterior, es muy fácil eliminar las palomas grises. Para borrar Gray Pigeon, aún necesita operar en modo seguro. Hay dos pasos principales: 1. Borrar el servicio Gray Pigeon. 2. Eliminar el archivo del programa Gray Pigeon.
Nota: Esta operación debe realizarse en modo seguro Para evitar un mal funcionamiento, asegúrese de realizar una copia de seguridad antes de borrar.
1. Servicio para eliminar palomas grises
Sistema 2000/XP:
1. Abra el Editor del Registro (haga clic en "Inicio" - "Ejecutar", ingrese "Regedit.exe", Aceptar), abra la clave de registro HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services.
2. Haga clic en el menú "Editar" - "Buscar", ingrese "G_server.exe" en "Objetivo de búsqueda", haga clic en Aceptar, podemos encontrar los elementos de servicio de Grey Pigeon.
3. Elimine el elemento de servicio donde se encuentra todo el valor de la clave G_server.exe.
Lo busqué por nombre y realmente lo encontré Jaja~~`Si no puedo encontrarlo, significa que no hay ningún elemento registrado, así que simplemente voy al archivo y lo elimino]
Sistema 98/me:
En 9X, solo hay un elemento de inicio de Gray Pigeon, por lo que la limpieza es más sencilla.
Ejecute el editor de registro y abra el elemento HKEY_CURRENT_USER\\Sofare\\Microsoft\\Windows\\CurrentVersion\\Run. Inmediatamente verá un elemento llamado G_server.exe. Elimine el elemento G_server.exe.
2. Elimina los archivos del programa Gray Pigeon
Eliminar los archivos del programa Gray Pigeon es muy sencillo. Sólo necesitas eliminar G_server.exe, G_server.dll y G_server_Hook en Windows. directorio en modo seguro.dll así como el archivo G_serverkey.dll y luego reinicie la computadora. En este punto, las palomas grises han sido eliminadas.
Adjunto:
De hecho, la mayoría del software antivirus aún puede ayudar a detectar y eliminar el virus Gray Pigeon. Utilizo el software antivirus Rising y lo he actualizado a la versión actual. última versión En modo normal A continuación, Rising eliminó todos los archivos excepto el archivo G_server.exe. De hecho, no esperaba que Rising pudiera eliminarlos todos, pero Rising en realidad me ayudó mucho, es decir, me ayudó a determinar. el tipo de virus Gray Pigeon, cuando utilicé Rising para eliminar los tres archivos G_server.dll, G_server_Hook.dll y G_serverkey.dll, así como los archivos adjuntos a otros procesos liberados por los dos primeros archivos, determiné que el resto. El archivo debe ser G_server.exe, así que reinicie la computadora para ingresar al modo seguro. Primero, configure Windows para que muestre todos los archivos. Abra "Mi PC", seleccione el menú "Herramientas" - "Opciones de carpeta", haga clic en "Ver", desmarque "Ocultar archivos protegidos del sistema operativo" y seleccione "Ocultar archivos y carpetas". Seleccione "Mostrar todos los archivos y carpetas" y haga clic "DE ACUERDO". Luego abra el "Archivo de búsqueda" de Windows, porque se determina que el archivo de virus es G_server.exe, pero al mismo tiempo, para estar seguro, ingrese G_server*, pero para mi sorpresa, encontré un archivo. copia de este archivo en la unidad D. Sus atributos también están ocultos, por lo que se recomienda buscar en todas las particiones durante la búsqueda y luego eliminarlas.
Además, debe ingresar al registro para eliminar. la clave de servicio. Utilicé la función de búsqueda del registro para buscar G_server y encontré la clave de servicio del virus Gray Pigeon, y descubrí que una de las claves decía claramente "..... Gray Pigeon..." Esto hizo. Estaba muy enojado, así que eliminé toda la clave de servicio. En este punto, el virus Gray Pigeon se eliminó. Reinicié mi computadora y comencé a trabajar nuevamente, combinado con información relevante en Internet, escribí este artículo para todos. ¡¡Espero que sea útil para todos!!