下面是灰鴿子的壹個簡介,根據這個簡介,可以對照灰鴿子所生成的文件名,去依次創建好這些文件(新建0字節的txt,改成對應文件名就可以了),然後設置文件權限,把所有權限都刪除,並不允許從父路徑繼承權限
當然,封端口也是壹個辦法,但是灰鴿子端口是可以改的,不壹定固定.
===================
病毒名稱: Backdoor.GrayBird.ad
中文名稱: 灰鴿子
病毒類型: 木馬
文件長度:382 KB
感染系統: Windows9x以上的所有版本
編寫語言: Delphi 6
加殼類型:TeLock
二、病毒描述:
灰鴿子(Backdoor.GrayBird.ad)運行後,主動打開後門端口(端口號不確定),攻擊者對感染主機可進行遠程控制。若服務端配置屬自動上線型,則通過配置服務端時設定的URL,主動連接到遠程攻擊者並接受控制。
灰鴿子(Backdoor.GrayBird.ad)利用“反彈端口原理”,可穿過某些防火墻。遠程攻擊者連接成功後可監控服務端屏幕,截獲感染主機的oicq、icq, 網絡遊戲,郵箱,上網賬號等敏感信息,同時還可在服務端開啟Socks5 及 FTP服務,並且具有修改文件、註冊表功能,是壹種危險性較高的木馬。
灰鴿子(Backdoor.GrayBird.ad)運行後,會創建3個病毒文件,在安全模式下才可看到。
三、 行為分析:
1、灰鴿子運行後,會拷貝服務端到系統,存在於以下路徑%System%, %Windows%, %temp%,服務端名稱可能為
GrayPigeon.exe , GrayPigeon.bat , GrayPigeon.com, Winlogo.EXE, Windows.EXE,RAVMOND.EXE, SP00LSV.EXE, SVCH0ST.EXE
2、修改註冊表並添加鍵值,從而達到隨系統啟動的目的:
如果是win9x系統,將向win.ini中添加鍵值。
如果是NT系統,將向如下3個啟動項中添加鍵值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
3、灰鴿子運行後,會創建三個病毒文件,IExplorer.exe,IExplorer.dll, IExplorer_Hook.dll,同時將IExplorer_Hook.dll註入到系統每個進程中。
4、在隨機端口開設後門,等待攻擊者遠程連接。
四、清除方案:
1、使用安天木馬防線可徹底清除此病毒(推薦)。
2、手工清除請按照行為分析刪除對應文件,恢復相關系統設置。
NOTE:灰鴿子的新變種CJ(Win32.Hack.Huigezi.cj)