病毒名稱
中文名稱: 灰鴿子
病毒類型: 木馬
危害等級: 高
檔案長度: 382 KB
感染系統: Windows9x以上的所有版本
編寫語言: Delphi 6 加殼類型: TeLock
病毒描述
Backdoor.GrayBird.ad ( 灰鴿子)服務端 運行後會打開後門連線埠,等待攻擊者的遠程控制。如果服務端 採用自動上線配置,通過生成服務端時設定的 URL ,主動連線到遠程攻擊者接受控制,因為其利用 “ 反彈連線埠原理 ” ,所以可穿過某些防火牆。
攻擊者連線成功後便可 監控服務端螢幕,截獲 oicq,icq, 及網路遊戲,信箱,上網賬號等敏感信息,並且具有讀寫檔案,修改註冊表功能, 同時還可在服務端開啟 Socks5 及 FTP 服務,是一種危險性較高的 木 馬。
行為分析:
1、拷貝服務端到系統,路徑可能為 %System%, %Windows%, %temp% ,服務端名稱可能為 GrayPigeon.exe, GrayPigeon.bat, GrayPigeon.com, Winlogo.EXE, windows.exe,RAVMOND.EXE, SP00LSV.EXE, SVCH0ST.EXE
2、向註冊表添加鍵值,隨系統啟動: 如果是 NT 系統,將向如下 3 個啟動項中添加鍵值: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 如果是 win9x 系統,將向 win.ini 中添加鍵值。
3、在隨機連線埠開設後門,等待攻擊者遠程連線。
