Cómo prevenir la invasión de palomas grises ¡Urgente! ! ! Necesita ser solucionado inmediatamente

Esto es lo que escribí yo mismo...

La siguiente es una introducción a Gray Pigeon. De acuerdo con esta introducción, puede crearlos en secuencia comparando los nombres de los archivos generados por. Gray Pigeon. (cree un texto de 0 bytes y cámbielo al nombre de archivo correspondiente), luego configure los permisos del archivo, elimine todos los permisos y no permita que los permisos se hereden de la ruta principal

Por supuesto, lo mismo se aplica a los cierres de puertos en una dirección, pero el puerto de Grey Pigeon se puede cambiar, no necesariamente arreglar.

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝ ＝＝

Nombre del virus: Backdoor.GrayBird.ad

Nombre chino: Grey Pigeon

Tipo de virus: caballo de Troya

Longitud del archivo : 382 KB

Sistema de infección: todas las versiones superiores a Windows 9x

Idioma de escritura: Delphi 6

Tipo de embalaje: TeLock

2. Descripción del virus:

Después de ejecutarse, Gray Bird (Backdoor.GrayBird.ad), abre activamente el puerto de la puerta trasera (el número de puerto es incierto) y el atacante puede controlar de forma remota el host infectado. Si la configuración del servidor es de tipo automático en línea, se conectará activamente con el atacante remoto y aceptará el control a través de la URL establecida al configurar el servidor.

Gray Bird (Backdoor.GrayBird.ad) utiliza el "principio del puerto de rebote" para penetrar algunos firewalls. Después de una conexión exitosa, el atacante remoto puede monitorear la pantalla del servidor e interceptar información confidencial como oicq, icq, juegos en línea, correo electrónico y cuentas de Internet del host infectado. Al mismo tiempo, el atacante remoto también puede habilitar Socks5 y FTP. servicios en el servidor y tiene la capacidad de modificar archivos y funciones de registro, es un caballo de Troya altamente peligroso.

Después de ejecutar Backdoor.GrayBird.ad, se crearán 3 archivos de virus, que sólo se podrán ver en modo seguro.

3. Análisis de comportamiento:

1. Después de ejecutar Gray Pigeon, copiará el servidor al sistema, que existe en las siguientes rutas: %System%, %Windows%. , %temp%, servicio El nombre del puerto puede ser

GrayPigeon.exe, GrayPigeon.bat, GrayPigeon.com, Winlogo.EXE, Windows.EXE,RAVMOND.EXE, SP00LSV.EXE, SVCH0ST.EXE

2, modifique el registro y agregue valores clave para lograr el propósito de comenzar con el sistema:

Si es un sistema win9x, los valores clave se agregarán a ganar.ini.

Si es un sistema NT, los valores clave se agregarán a los siguientes tres elementos de inicio:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

3. Se creará, IExplorer .exe, IExplorer.dll, IExplorer_Hook.dll e IExplorer_Hook.dll se inyectan en cada proceso del sistema.

4. Abra una puerta trasera en un puerto aleatorio y espere a que el atacante se conecte de forma remota.

IV.Plan de eliminación:

1. Utilizar Antiy Trojan Defense para eliminar completamente este virus (recomendado).

2. Para la eliminación manual, elimine los archivos correspondientes según el análisis de comportamiento y restaure la configuración relevante del sistema.

NOTA: Una nueva variante de Grey Pigeon CJ (Win32.Hack.Huigezi.cj)