¿Un cliente remoto monitoreará una máquina infectada con Gray Pigeon después de la recuperación fantasma con un solo clic de la unidad C?
Primer piso, ¡no saques conclusiones precipitadas fácilmente! ! ! ! ! ! ! !
Grey Pigeon es una puerta trasera famosa en China. En comparación con los glaciares y agujeros negros anteriores, se puede decir que Grey Pigeon es el epítome de la puerta trasera de China. Sus funciones ricas y poderosas, su operación flexible y su buen ocultamiento eclipsan a otras puertas traseras. La operación del cliente es simple y conveniente, lo que permite a los principiantes actuar como piratas informáticos. Gray Dove es un excelente software de control remoto cuando se utiliza en condiciones legales. Pero si lo usas para hacer algo ilegal, Grey Pigeon se convierte en una poderosa herramienta de piratería. Esto es como la pólvora, utilizada en diferentes situaciones, tiene diferentes efectos en los humanos. La introducción completa de Grey Pigeon solo puede ser aclarada por el propio autor, por lo que aquí solo puedo dar una breve introducción.
El cliente y el servidor de Gray Pigeon están escritos en Delphi. Los piratas informáticos utilizan programas cliente para configurar programas de servidor. La información configurable incluye principalmente el tipo de conexión (como espera de conexión o conexión activa), IP pública (nombre de dominio) utilizada para la conexión activa, contraseña de conexión, puerto utilizado, nombre del elemento de inicio, nombre del servicio, modo oculto del proceso, shell utilizado, agente, iconos, etc
La configuración de la contraseña de conexión permite que el programa del servidor Gray Pigeon sea controlado únicamente por el hacker que lo configuró, evitando la competencia entre hackers.
Hay muchas formas para que el servidor se conecte al cliente, lo que puede envenenar a los usuarios en diversos entornos de red, incluidos los usuarios de LAN (que acceden a Internet a través de servidores proxy), los usuarios de redes públicas y los usuarios de acceso telefónico ADSL.
¡Solo se utiliza un puerto para transmitir todos los datos de comunicación! El software similar común utiliza dos o más puertos para completar.
¡Admite computadoras que pueden controlar las conexiones a Internet y el acceso proxy transparente HTTP! El software lee de forma inteligente la información del servidor proxy configurada por el sistema, ¡sin configuración del usuario!
¡Puedes configurar el servidor para habilitar la función de servidor proxy Socks5 y la función de servicio proxy HTTP! ¡No se requiere soporte de software de terceros! Compatible con Windows9x/ME/2000/Xp/2003. Conveniente para que los piratas informáticos realicen ataques de trampolín.
Además de la monitorización y el envío de voz, también existe la función de monitorización remota de vídeo. Sólo la computadora remota tiene una cámara, normalmente está encendida y nadie la está usando. ¡Entonces podrás ver las imágenes capturadas por la cámara remota! También puede guardar fotografías tomadas con cámaras remotas en formato Mpeg-1. La voz remota también se puede grabar como archivos de sonido Wav.
Casi todas las demás funciones de puerta trasera se pueden encontrar en Grey Pigeon. Y cada función es muy detallada y muy fácil de usar. La interfaz general es refrescante y fácil de usar, se ha considerado cada pequeño detalle y se han realizado casi todos los ideales imaginables. Sin embargo, la comodidad de los piratas informáticos no es algo bueno para los usuarios.
El servidor se presenta a continuación:
El nombre del archivo del servidor configurado es G_Server.exe (este es el valor predeterminado, pero también se puede cambiar). Luego, el hacker utiliza todos los medios para engañar al usuario para que ejecute el programa G_Server.exe. Los lectores pueden dar rienda suelta a su imaginación a través de métodos específicos, que no entraré en detalles aquí.
Cuando se ejecuta G_Server.exe por primera vez, se copiará al directorio de Windows (el sistema operativo 98/XP es el directorio de Windows del disco del sistema, 2K/NT es el directorio winnt del disco del sistema). y regístrese como un servicio (el nombre del servicio se configuró anteriormente) y luego libere dos archivos del cuerpo principal al directorio de Windows: G_Server.dll y G_Server_Hook.dll (la última versión de Gray Pigeon luego inyectará G_Server.dll y G_Server_Hook.dll en Explorer.exe, IExplorer.exe o todos los procesos se ejecutan, y luego G_Server.exe sale y las dos bibliotecas dinámicas continúan ejecutándose. Debido a que el virus no tiene un proceso independiente cuando se ejecuta, el virus está bien oculto. .
G_Server.exe en el directorio de Windows se ejecutará automáticamente cada vez que se encienda la computadora. Después de activar la biblioteca dinámica, se cerrará para evitar despertar sospechas del usuario.
G_Server.dll implementa la función de puerta trasera y se comunica con el terminal de control. La poderosa función de Grey Dove se refleja principalmente aquí. Las operaciones que los piratas informáticos pueden realizar en la máquina envenenada incluyen: administración de archivos, obtención de información del sistema, visualización del portapapeles, administración de procesos, administración de ventanas, registro de teclas, administración de servicios, * * * *administración de recursos compartidos, provisión de shell MS-Dos y provisión de proxy. servicios, editar el registro, iniciar el servicio telnet, tomar capturas de pantalla, monitoreo de video, monitoreo de audio, enviar audio, desinstalar información que los usuarios pueden ver localmente... Especialmente el monitoreo de pantalla y el monitoreo de video y audio son más peligrosos. Si un usuario realiza transacciones bancarias en línea en una computadora, el monitoreo remoto de la pantalla puede exponer fácilmente el número de cuenta del usuario. Junto con el monitoreo del teclado, la contraseña del usuario también estará en riesgo. Sin embargo, la vigilancia por vídeo y audio puede revelar fácilmente los propios secretos de un usuario, como la "apariencia" y la "voz".
G_Server_Hook.dll es responsable de ocultar las palomas grises. Al interceptar las llamadas API del proceso, oculta los archivos de Gray Pigeon, las entradas del registro de servicios e incluso los nombres de los módulos en el proceso. Las funciones interceptadas se utilizan principalmente para atravesar archivos, atravesar claves de registro y atravesar módulos de proceso. Por eso, a veces los usuarios sienten que están infectados, pero una inspección cuidadosa no puede encontrar nada anormal.
El autor de "Gray Pigeon" se esforzó mucho en cómo escapar de la detección del software antivirus. Dado que algunas funciones API han sido interceptadas, es difícil atravesar los archivos y módulos de Gray Pigeon en modo normal, lo que dificulta su detección y eliminación. También es muy problemático desinstalar la base de datos dinámica de Gray Pigeon para garantizar que el proceso del sistema no falle, lo que ha provocado la reciente proliferación de Gray Pigeon en Internet.
Las características del virus Paloma Gris 2005 son: 1. Después de ejecutarse, el proceso del virus se inserta en todos los procesos que se están ejecutando actualmente; 2. Ocultar el proceso del virus en sí 3. Ocultar el archivo del virus 4. Regístrese como un servicio del sistema para comenzar a cargar; Por lo tanto, es difícil detectar y eliminar virus en WINDOWS después de haber sido infectados.
El paso clave para detectar y eliminar manualmente Gray Pigeon 2005 es encontrar el nombre del servicio del sistema registrado por el virus y eliminarlo de la rama HKEY_local_machine\system\current control set\service del registro. Sin embargo, al configurar el servidor Gray Pigeon 2005, los piratas informáticos nombraron los nombres de los servicios del sistema de varias maneras y no había reglas específicas a seguir, lo que dificultaba que muchas personas eliminaran el virus después de haber sido infectadas.
De hecho, Gray Pigeon 2005 tiene una debilidad que puede usarse para matar virus manualmente. Esta debilidad es: use HijackThis1.99.1 para escanear el registro del sistema. El elemento O23 puede mostrar el nombre del servicio del sistema (como WindowsPowerServer) y el nombre del archivo ejecutable (como D:\WINDOWS\spoolvs.exe) registrado por Gray Pigeon. (Nota: el registro HiajckThis del sistema NT solo tiene la entrada O23; es imposible que los sistemas que no son NT, como WIN98, tengan esta entrada).
Por lo tanto, se recomienda que los usuarios infectados con Gray Las publicaciones de Pigeon 2005 siguen los siguientes pasos:
1. Utilice HijackThis1.99.1 (la pequeña herramienta adjunta a esta publicación) para escanear el registro del sistema y buscar el nombre del servicio del sistema registrado por Gray Pigeon 2005 ( como WindowsPowerServer) en O23. Si no puede entender el registro de HijackThis, puede publicarlo en la publicación y pedirle a otros que lo ayuden a identificarlo.
2. Después de confirmar el nombre del servicio del sistema registrado por Gray Pigeon 2005, abra el editor de registro, navegue hasta la rama HKEY_Local_Machine\System\Current Control Set\Service y elimine el servicio de virus en la columna de la izquierda. nombre (como WindowsPowerServer).
3. Reinicie el sistema, marque "Mostrar archivos del sistema" y "Mostrar todos los archivos y carpetas" en el panel de vista de las opciones de carpeta y haga clic en "Aceptar". Luego busque el nombre del archivo del virus en Windows (por ejemplo: D:\WINDOWS\spoolvs.exe) y elimínelo después de encontrarlo.
Cabe señalar que Gray Pigeon generó entre 3 y 4 archivos de virus en 2005. Existen ciertas reglas para nombrar archivos de virus, a saber, X.exe, X.dll, X_hook.dll y XKey.dll, donde "X" se refiere a la parte variable del nombre del archivo de virus. Por ejemplo, después de que su sistema esté infectado con Gray Dove 2005, verá el mensaje "O23-service: rsvps (QoS rsvps) - Propietario desconocido -d:\Windows\spoolvs.exe" en el registro de HijackThis1.99.1. Luego, este registro indica: esta paloma gris. Los archivos de virus generados incluyen spoolvs.exe, spoolvs.dll, spoolvs_hook.dll y posiblemente spoolvsKey.dll. Este grupo de 3-4 archivos de virus se encuentra en la carpeta D:\WINDOWS\.
Adjunto: El nombre del servicio del sistema de registro y el nombre del archivo de virus de Gray Pigeon 2005 que se ven en el registro de HijackThis (para referencia manual antivirus).
O23 - Servicio: WINL0G0N - Desconocido - C:\WINDOWS\WINL0G0N. Extensión del programa ejecutable
o23-Service: Windows_Helper-Unknown-C:\Windows\3721.exe
o23-Service:ray-pigeon-sorver-unknwn- c:/windows/ ler ver.exe
o23-Service:Remotee-Unknown-C:\WINNT\expler Cr.exe
o23-Service:ger ver-Unknown-C :\WINDOWS\smcsc .exe
o23-Service:Intel net-Unknown-C:\WINDOWS\system.exe
o23-Service:ssvn-Unknown-C:\WINNT \server.exe
O23 - Servicio: Coordenadas distribuidas - Desconocido - C:\WINNT\cmmon32.com
O23 - Servicio: Información de contacto - Desconocido - C:\WINDOWS\ svchost.exe
O23 - Servicio: Servidor DNS Pigeon - Desconocido - C:\WINDOWS\Rver.exe
O23 - Servicio: Herramientas de administración del sistema a - Desconocido - C:\WINDOWS \comines.exe
O23 - Servicio: Plug and play.
- Desconocido - C:\WINDOWS\crsss.exe
023 - Servicio: Pigeon_Server - Desconocido - C:\WINDOWS\Server.exe
O23 - Servicio: Windows Update Server - Desconocido - C:\WINDOWS\winupdate.exe
O23 - Servicio: Windows Management Player - Desconocido - C:\WINNT\system.exe
O23 - Servicio: Descubrimiento del rendimiento de aplicaciones - Desconocido - C:\WINDOWS\svchost.exe
O23 - Servicio: Controlador de administración de Windows - Desconocido - C:\WINNT\win32help.exe
o23 - Servicio: Windows PowerServer - Desconocido - C:\WINNT\server.exe
O23 - Servicio: RSVPS (QoS RSVPS) - Propietario desconocido - D:\WINDOWS\spoolvs.exe
Autor de puerta trasera. Hui Gezi nunca ha dejado de desarrollar palomas grises. Para evitar la detección por parte del software antivirus, algunas personas deliberadamente agregaron diferentes caparazones a las palomas grises, lo que resultó en la aparición de nuevas variedades de palomas grises en Internet. Aunque Ruixing Company no ha escatimado esfuerzos para recolectar las últimas muestras de palomas grises, todavía habrá algunos "peces que se escapan de la red" por razones de raza. Si su máquina tiene síntomas de paloma gris pero el software antivirus Rising no puede detectarla, es probable que la nueva variante no haya sido interceptada. En este momento, es el momento de matar la paloma gris con las manos.
Sacar las palomas grises a mano no es difícil. Lo importante es que entendamos cómo funciona.
El principio de funcionamiento de Gray Pigeon
El troyano Gray Pigeon se divide en dos partes: el cliente y el servidor. Los piratas informáticos (digámoslo así) manipulan el cliente y utilizan la configuración del cliente para generar programas de servidor. El nombre del archivo del servidor por defecto es G_Server.exe, y luego los piratas informáticos propagan este troyano a través de varios canales (comúnmente conocidos como troyanos o puertas traseras). Hay muchas formas de crear un caballo de Troya. Por ejemplo, un hacker puede vincularlo a una imagen y luego enviárselo a tu chica tímida a través de QQ para engañarte y hacer que corras. También puede configurar una página web personal para engañarlo y hacer clic y utilizar las vulnerabilidades de IE para descargar troyanos y ejecutarlos en su máquina. También puedes subir archivos a sitios web de descarga de software, pretendiendo ser un software interesante para engañar a los usuarios para que lo descarguen...
Después de ejecutarlo, G_Server.exe se copiará en el directorio de Windows (el directorio de Windows del sistema). disco en 98/xp y el directorio Winnt del disco del sistema en 2k/NT), y luego suelte G_Server.dll y G_Server_Hook.dll desde el cuerpo principal al directorio de Windows. G_Server.exe, G_Server.dll y G_Server_Hook.dll cooperan entre sí para formar el servidor Gray Pigeon. Algunas palomas grises lanzarán un archivo adicional llamado G_ServerKey.dll para registrar las operaciones del teclado. Tenga en cuenta que el nombre G_Server.exe no es fijo, pero se puede personalizar. Por ejemplo, cuando el nombre de archivo del servidor personalizado es A.exe, los archivos generados son A.exe, A.dll y A_Hook.dll
El archivo G_Server.exe en el directorio de Windows se registrará solo como servicio (el sistema 9X escribe el elemento de inicio del registro) y puede ejecutarse automáticamente cada vez que se enciende la computadora. Después de ejecutar, inicie G_Server.dll y G_Server_Hook.dll y salga automáticamente. El archivo G_Server.dll implementa la función de puerta trasera y se comunica con el cliente de control; G_Server_Hook.dll oculta el virus interceptando llamadas API. Por lo tanto, después de ser envenenado, no podemos ver el archivo del virus, ni podemos ver los servicios registrados por el virus.
Con diferentes configuraciones del archivo del servidor Gray Pigeon, G_Server_Hook.dll a veces se adjunta al espacio de proceso de Explorer.exe y, a veces, a todos los procesos.
Detección manual de Gray Pigeon
Debido a que Gray Pigeon intercepta llamadas API, en modo normal, el archivo troyano y sus elementos de servicio registrados están ocultos, lo que significa que incluso si puedo configurar No lo veo incluso si hago clic en "Mostrar todos los archivos ocultos". Además, el nombre del archivo del servidor Gray Pigeon también se puede personalizar, lo que plantea ciertas dificultades a la detección manual.
Sin embargo, tras una cuidadosa observación, comprobamos que la detección de palomas grises sigue siendo regular. Del análisis anterior del principio operativo, podemos ver que no importa cuál sea el nombre del archivo del lado del servidor definido por el usuario, se generará un archivo que termina en "_hook.dll" en el directorio de instalación del sistema operativo. Con esto, podemos detectar manualmente los troyanos Gray Dove con mayor precisión.
Debido a que Grey Pigeon se ocultará en modo normal, la operación de detección de Grey Pigeon debe realizarse en modo seguro. La forma de ingresar al modo seguro es iniciar la computadora. Antes de que el sistema llegue a la pantalla de inicio de Windows, presione la tecla F8 (o mantenga presionada la tecla Ctrl mientras inicia la computadora) y seleccione "Modo seguro" o "Modo seguro" en el menú de opciones de inicio que aparece.
Lo siento, no puedo ayudarte sin ver tu computadora.