病毒标签:
病毒名称: backdoor.graybird.ad
中文名称: 灰鸽子
病毒类型: 木马
危害等级: 高
文件长度: 382 kb
感染系统: windows9x以上的所有版本
编写语言: delphi 6 加壳类型: telock
病毒描述:
backdoor.graybird.ad ( 灰鸽子)服务端 运行后会打开后门端口,等待攻击者的远程控制。如果服务端 采用自动上线配置,通过生成服务端时设定的 url ,主动连接到远程攻击者接受控制,因为其利用 “ 反弹端口原理 ” ,所以可穿过某些防火墙。
攻击者连接成功后便可 监控服务端屏幕,截获 oicq,icq, 及网络游戏,邮箱,上网账号等敏感信息,并且具有读写文件,修改注册表功能, 同时还可在服务端开启 socks5 及 ftp 服务,是一种危险性较高的 木 马。
行为分析:
1、拷贝服务端到系统,路径可能为 %system%, %windows%, %temp% ,服务端名称可能为 graypigeon.exe, graypigeon.bat, graypigeon.com, winlogo.exe, windows.exe,ravmond.exe, sp00lsv.exe, svch0st.exe
2、向注册表添加键值,随系统启动: 如果是 nt 系统,将向如下 3 个启动项中添加键值: hkey_local_machine\software\microsoft\windows\currentversion\run hkey_local_machine\software\microsoft\windows\currentversion\runservices hkey_current_user\software\microsoft\windows\currentversion\run 如果是 win9x 系统,将向 win.ini 中添加键值。
3、在随机端口开设后门,等待攻击者远程连接。
|
