¿Qué tipo de software es Grey Pigeon?

1. Introducción al virus Grey Pigeon

Grey Pigeon es una puerta trasera muy conocida en China. En comparación con sus predecesores Glacier y Black Hole, se puede decir que Grey Pigeon es el maestro de las puertas traseras domésticas. Sus funciones ricas y poderosas, operaciones flexibles y buen ocultamiento eclipsan a otras puertas traseras. El funcionamiento sencillo y práctico del cliente permite a los principiantes convertirse en piratas informáticos. Cuando se usa legalmente, Gray Dove es un excelente software de control remoto. Pero si lo usas para hacer algo ilegal, Grey Pigeon se convierte en una herramienta de hacking muy poderosa. Esto es como la pólvora, utilizada en diferentes situaciones, produce diferentes efectos en los seres humanos. Quizás solo el autor de Grey Pigeon pueda dar una introducción completa a Grey Pigeon, por lo que aquí solo podemos dar una breve introducción.

Tanto el cliente como el servidor de Gray Pigeon están escritos en Delphi. Los piratas informáticos utilizan el programa cliente para configurar el programa servidor. La información configurable incluye principalmente el tipo de conexión (como espera de conexión o conexión activa), IP pública (nombre de dominio) utilizada cuando se conecta activamente, contraseña de conexión, puerto utilizado, nombre del elemento de inicio, nombre del servicio, método de ocultación del proceso y shell utilizado, agentes. , íconos y más.

Hay muchas formas de conectar el servidor al cliente, por lo que los usuarios en diversos entornos de red pueden resultar envenenados, incluidos los usuarios de LAN (que acceden a Internet a través de servidores proxy), usuarios de redes públicas y usuarios de acceso telefónico ADSL. .

El servidor se presenta a continuación:

El archivo del servidor configurado se llama G_Server.exe (este es el valor predeterminado, pero por supuesto se puede cambiar). Luego, los piratas informáticos utilizan todos los medios para engañar a los usuarios para que ejecuten el programa G_Server.exe.

Después de ejecutar G_Server.exe, se copia en el directorio de Windows (en 98/xp, es el directorio de Windows del disco del sistema, y ​​en 2k/NT, es el directorio Winnt del sistema). disk) y luego libera G_Server del cuerpo dll y G_Server_Hook.dll al directorio de Windows. Los tres archivos G_Server.exe, G_Server.dll y G_Server_Hook.dll cooperan entre sí para formar el servidor Gray Pigeon. G_Server_Hook.dll es responsable de ocultar Gray Pigeon. Al interceptar las llamadas API del proceso, oculta los archivos de Gray Pigeon, las entradas del registro de servicios e incluso los nombres de los módulos en el proceso. Las funciones interceptadas son principalmente funciones utilizadas para atravesar archivos, atravesar entradas de registro y atravesar módulos de proceso. Por lo tanto, a veces los usuarios sienten que han sido envenenados, pero tras una inspección cuidadosa no encuentran nada inusual. Algunas palomas grises lanzarán un archivo adicional llamado G_ServerKey.dll para registrar las operaciones del teclado. Tenga en cuenta que el nombre G_Server.exe no es fijo, se puede personalizar. Por ejemplo, cuando el nombre del archivo del servidor personalizado es A.exe, los archivos generados son A.exe, A.dll y A_Hook.dll.

El archivo G_Server.exe en el directorio de Windows se registra como un servicio (el sistema 9X escribe el elemento de inicio del registro) y puede ejecutarse automáticamente cada vez que se enciende la computadora. Después de ejecutar, G_Server.dll. y G_Server_Hook.dll se iniciará y se cerrará automáticamente. El archivo G_Server.dll implementa la función de puerta trasera y se comunica con el cliente de control; G_Server_Hook.dll oculta el virus interceptando llamadas API. Por lo tanto, después del envenenamiento, no podemos ver el archivo del virus ni los elementos de servicio registrados por el virus. Dependiendo de la configuración del archivo del servidor Gray Pigeon, G_Server_Hook.dll a veces se adjunta al espacio de proceso de Explorer.exe y, a veces, a todos los procesos.

El autor de Grey Pigeon se esforzó mucho en cómo escapar de la detección del software antivirus. Dado que algunas funciones API fueron interceptadas, fue difícil atravesar los archivos y módulos de Gray Pigeon en modo normal, lo que provocó dificultades en la detección y eliminación. También es muy problemático desinstalar la biblioteca dinámica de Gray Pigeon y asegurarse de que el proceso del sistema no falle, lo que ha provocado la reciente proliferación de Gray Pigeon en Internet.

Edite este párrafo 2. Detección manual de Gray Pigeon

Dado que Gray Pigeon intercepta llamadas API, los archivos del programa del servidor y sus elementos de servicio registrados están ocultos en modo normal. Eso significa que usted puede hacerlo. No los verás incluso si configuras "Mostrar todos los archivos ocultos". Además, el nombre del archivo del servidor Gray Pigeon también se puede personalizar, lo que plantea ciertas dificultades a la detección manual.

Sin embargo, tras una cuidadosa observación, comprobamos que la detección de palomas grises sigue siendo regular. Del análisis anterior del principio operativo, podemos ver que no importa cuál sea el nombre del archivo personalizado del lado del servidor, generalmente se generará un archivo que termina en "_hook.dll" en el directorio de instalación del sistema operativo. A través de esto, podemos detectar manualmente el servidor de la paloma gris con mayor precisión.

Dado que las palomas grises se esconderán en el modo normal, la operación de detección de palomas grises debe realizarse en modo seguro. El método para ingresar al modo seguro es: inicie la computadora, presione la tecla F8 antes de que el sistema ingrese a la pantalla de inicio de Windows (o mantenga presionada la tecla Ctrl al iniciar la computadora) y seleccione "Modo seguro" o "Modo seguro" en el menú de opciones de arranque que aparece.

1. Dado que los archivos Gray Pigeon tienen atributos ocultos, debe configurar Windows para que muestre todos los archivos. Abra "Mi PC", seleccione el menú "Herramientas" - "Opciones de carpeta", haga clic en "Ver", desmarque "Ocultar archivos protegidos del sistema operativo" y seleccione "Ocultar archivos y carpetas". Seleccione Mostrar todos los archivos y carpetas y haga clic en Aceptar.

2. Abra el "Archivo de búsqueda" de Windows, ingrese "_hook.dll" como nombre de archivo y seleccione el directorio de instalación de Windows como ubicación de búsqueda (el valor predeterminado es C:\windows para 98/xp , C: para 2k/NT) \Winnt).

3. Después de buscar, encontramos un archivo llamado Game_Hook.dll en el directorio de Windows (excluyendo los subdirectorios).

4. Según el análisis del principio de la paloma gris, sabemos que si Game_Hook.DLL es un archivo de la paloma gris, también habrá archivos Game.exe y Game.dll en el directorio de instalación del sistema operativo. . Abra el directorio de Windows y, efectivamente, encontrará estos dos archivos, así como un archivo GameKey.dll para registrar las operaciones del teclado.

Después de estos pocos pasos, básicamente podemos determinar que estos archivos son servidores de Gray Pigeon y podemos borrarlos manualmente a continuación.

Editar este párrafo 3. Eliminación manual de palomas grises

Después del análisis anterior, es muy fácil eliminar las palomas grises. Para borrar Gray Pigeon, aún necesita operar en modo seguro. Hay dos pasos principales:

1. Borrar el servicio de Gray Pigeon

2. Eliminar los archivos del programa Gray Pigeon.

Nota: Para evitar un mal uso, asegúrese de realizar una copia de seguridad antes de borrar.

(1) Servicio de limpieza de palomas grises

Tenga en cuenta que el servicio de limpieza de palomas grises debe completarse en el registro. Los internautas que no estén familiarizados con el registro deben preguntar a alguien que lo esté. Familiarícese con él para obtener ayuda. Para borrar el servicio Gray Pigeon, primero debe hacer una copia de seguridad del registro o cambiar el nombre del archivo de registro en DOS puro y luego eliminar el servicio Gray Pigeon del registro. Debido a que los virus se asociarán con archivos EXE

sistema 2000/XP:

1. Abra el Editor del Registro (haga clic en "Inicio" - "Ejecutar" e ingrese "Regedit.exe", OK.), abra la clave de registro HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services.

2. Haga clic en el menú "Editar" - "Buscar", ingrese "game.exe" en "Objetivo de búsqueda", haga clic en Aceptar, podemos encontrar el elemento de servicio de Grey Pigeon (este ejemplo es Game_Server, cada uno (el nombre de este elemento de servicio es diferente para los individuos).

3. Elimina todo el elemento Game_Server.

Sistema 98/me:

En 9X, solo hay un elemento de inicio de Gray Pigeon, por lo que la eliminación es más sencilla. Ejecute el editor de registro y abra el elemento HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run. Inmediatamente vemos un elemento llamado Game.exe. Simplemente elimine el elemento Game.exe.

(2) Eliminar los archivos del programa Gray Pigeon

Eliminar los archivos del programa Gray Pigeon es muy sencillo. Sólo necesita eliminar Game.exe, Game.dll, Game_Hook.dll y. Archivos Gamekey.dll y luego reinicie su computadora. En este punto, el servidor Gray Pigeon VIP 2005 ha sido limpiado.

El método presentado anteriormente es aplicable a la mayoría de los troyanos Gray Pigeon y sus variantes que hemos visto. Sin embargo, todavía hay muy pocas variantes que no se pueden detectar y eliminar con este método. Al mismo tiempo, con el lanzamiento continuo de nuevas versiones de Gray Pigeon, el autor puede agregar algunos nuevos métodos de ocultación y métodos anti-eliminación, lo que hace cada vez más difícil detectarlo y eliminarlo manualmente.

4. Cosas a las que debes prestar atención para prevenir el virus de la paloma gris.

1. Instala parches en el sistema. Instale parches del sistema (actualizaciones críticas, actualizaciones de seguridad y paquetes de servicio) a través de Windows Update, incluidos MS04-011, MS04-012, MS04-013, MS03-001, MS03-007, MS03-049, MS04-032, etc. ampliamente utilizado, por lo que es un parche muy necesario

2. Establezca una contraseña compleja y segura para la cuenta del administrador del sistema, preferiblemente de más de 10 caracteres, también puede utilizar una combinación de letras + números + otros símbolos; deshabilitar/eliminar algunas cuentas no utilizadas

3. Actualice el software antivirus (base de datos de virus) con frecuencia y, si la configuración lo permite, configúrelo para que se actualice automáticamente todos los días. Instalar y utilizar correctamente el software de firewall de red. Los firewalls de red también pueden desempeñar un papel vital en el proceso antivirus y pueden bloquear eficazmente los ataques de la red y las intrusiones de virus. Algunos usuarios de Windows pirateados no pueden instalar parches normalmente, lo cual es bastante inútil. Es posible que estos usuarios deseen utilizar firewalls de red para cierta protección.

4. Cierre algunos servicios innecesarios si las condiciones lo permiten. *** privilegios, incluidos C$, D$ y otros privilegios de gestión. Los usuarios que sean completamente independientes pueden cerrar directamente el servicio del Servidor.

Descargue el sistema de escaneo HijackThis

Edite este párrafo 4. Descargue la dirección de Grey Pigeon

.com/soft/15753.html zww3008 versión china

/SoftView/SoftView_3014.html Versión emergente de la dirección de descarga del asesino especial/SoftView/SoftView_3668.html Después de la limpieza, debe reiniciar la computadora, detener el servicio y luego encontrar esos archivos residuales. Consulte la respuesta anterior. /p>

Nombre del software: Huigezi, herramienta especial de detección y eliminación de Gpigeon

Idioma de la interfaz: chino simplificado

Tipo de software: software doméstico

Entorno de ejecución : /Win9X/ Me/WinNT/2000/XP/2003

Método de autorización: software gratuito

Tamaño del software: 414 KB

Introducción del software: Desarrollado por Gray Pigeon Studio, un limpiador dedicado para Gray Pigeon. Puede borrar la versión VIP2005 del programa del servidor Gray Pigeon (incluido el servidor Gray Pigeon que no puede eliminarse con software antivirus) y el servidor de versión DLL y Gray Pigeon [versión oficial de Radiation]. servidor de versión mano a mano

Ejecute el archivo DelHgzvip2005Server.exe para borrar la versión VIP2005 del programa del servidor Gray Pigeon y ejecute el archivo un_hgzserver.exe para borrar Gray Pigeon [versión oficial de Radiation] y Versión DLL del servicio de versión mano a mano del servidor

Edite este párrafo 5. Declaración de anuncio de Gray Pigeon

Gray Pigeon Studio se estableció a principios de 2003 y está posicionado en el desarrollo de Software de control remoto, gestión remota y monitoreo remoto. Sus principales productos son los productos de software de la serie de control remoto Gray Pigeon. Todos los productos de software de Gray Pigeon Studio son software de control remoto comercial, que se proporcionan principalmente a cibercafés, empresas y usuarios individuales para la gestión y el uso de software informático. Gray Pigeon Software ha obtenido el certificado de registro de derechos de autor del software informático emitido por el estado y está protegido por; la Ley de Derecho de Autor.

Sin embargo, nos entristece ver que actualmente existen comportamientos ilegales en Internet que utilizan el software de administración remota Gray Pigeon y descifran y manipulan maliciosamente el software de administración remota Gray Pigeon. Estos comportamientos han afectado gravemente al sistema. Software de gestión remota Gray Pigeon La gestión de la reputación del software también altera el orden de la red. Esto va completamente en contra del propósito de Gray Pigeon Studio y de la intención original de desarrollar el software de gestión remota Gray Pigeon. Por la presente hacemos un llamado y aconsejamos a aquellos delincuentes que utilizan tecnología de control remoto para realizar actividades ilegales a que detengan inmediatamente dichas actividades ilegales.

Cabe señalar que desde su creación, Gray Pigeon Studio ha cumplido estrictamente las leyes y regulaciones nacionales sobre gestión de redes y tiene un alto sentido de responsabilidad social. Para evitar eficazmente que los delincuentes utilicen ilegalmente el software de gestión remota Grey Pigeon para participar en actividades ilegales que pongan en peligro a la sociedad, por la presente declaramos solemnemente que hemos decidido detener por completo el desarrollo, actualización y registro del software de gestión remota Grey Pigeon a partir de ahora. y tomar medidas prácticas y una actitud firme para resistir este uso ilegal del software de gestión remota Gray Pigeon, y aceptar sinceramente la supervisión de la mayoría de los internautas.

Gray Pigeon Studio condena a quienes utilizan ilegalmente tecnología de control remoto para lograr fines ilegales. Por tales actos, Gray Pigeon Studio ha lanzado el programa de desinstalación del servidor Gray Pigeon para facilitar a la mayoría de los internautas desinstalar a quienes son The Gray. El servidor Pigeon está instalado ilegalmente en su propia computadora. Página de descarga del desinstalador.

Editar este párrafo 6. Gray Pigeon Studio

Gray Pigeon Studio se estableció a principios de 2003 y está posicionado en el desarrollo de software de control remoto, gestión remota y monitoreo remoto. El producto es la serie de control remoto Gray Pigeon. En junio de 2005, se lanzó oficialmente el software de control remoto que utiliza tecnología de controlador para capturar la pantalla. La velocidad de captura de pantalla comenzó a exceder la del software de control remoto extranjero, y Gray Pigeon comenzó a ser sinónimo de. mando a distancia.

¡Esperamos utilizar nuestra tecnología y experiencia para crear el mejor software de control remoto y promover el desarrollo de la tecnología de control remoto!

21 de marzo de 2007

/uninstall/

Página de desinstalación

7. Sitio web oficial de Grey Pigeon

8. Introducción a los miembros de Grey Pigeon Studio

Ge Jun: A principios de 2003, fundó Gray Pigeon Studio con su amigo Huang Tuping. En 2001, Advance Edition tomó la iniciativa en el desarrollo y uso de tecnología de conexión de rebote en software de control remoto.

Huang Tuping: A principios de 2003, fundó Gray Pigeon Studio con su amigo Ge Jun.

Gray Pigeon es el antepasado de un software similar. 12