Backdoor Graybird是干什么的_病毒简介行为描述

backdoor.graybird编辑

backdoor.graybird

Backdoor.GrayBird.ad (灰鸽子)服务端 运行后会打开后门端口,等待攻击者的远程控制。如果服务端 采用自动上线配置,通过生成服务端时设定的 URL ,主动连接到远程攻击者接受控制,因为其利用“反弹端口原理” ,所以可穿过某些防火墙。

目录

1病毒简介2行为描述3手动修改

病毒简介

编辑

攻击者连接成功后便可 监控服务端屏幕,截获 oicq,icq, 及网络游戏,邮箱,上网账号等敏感信息,并且具有读写文件,修改注册表功能,同时还可在服务端开启 Socks5 及 FTP 服务,是一种危险性较高的木马。

行为描述

编辑

拷贝服务端到系统,路径可能为 %System%, %Windows%, %temp% ,服务端名称可能为GrayPigeon.exe, GrayPigeon.bat, GrayPigeon, Winlogo.EXE, Windows.EXE,RAVMOND.EXE, SP00LSV.EXE, SVCH0ST.EXE

向注册表添加键值,随系统启动:

如果是 win9x 系统,将向 win.ini 中添加键值。

在随机端口开设后门,等待攻击者远程连接。

你可以去下个最新的MCAFEE来杀掉它,MCAFEE是灰鸽子的克星!

手动修改

编辑

1.若是98/me,重启进安全模式,若是2000/xp,用任务管理器结束Svch0st.exe进程(看清与系统进程svchost.exe名称上的区别,可别弄错了啊)。

2.运行杀毒软件进行全面扫描

3.删除以下键值:

1)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

下的

“svchost”=”%System%\Svch0st.exe”

“winlogon”=”%System%\Winlogon.exe”

“system”=”%System%\Explorer.exe”

2)(对于Windows NT/2000/XP)

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows

下的

“run”=”%system%\svch0st.EXE”

对于Windows NT/2000/XP,至此一切OK!

4.(对于Windows98/Me)

1)(仅对于Me)

删除C:\Windows\Recent folder文件夹下的Win.ini文件

2)开始-运行,edit c:\windows\win.ini,

在[windows]区域中,找到类似

run=C:\WINDOWS\SYSTEM\SVCH0ST.EXE 的一项,删除之,保存退出。

呵呵~~~~~~~~问题解决了吗?

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 787013311@qq.com 举报,一经查实,本站将立刻删除。
(0)
上一篇 2023-08-22 10:37:11
下一篇 2023-08-22 10:39:05

相关推荐

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注