Backdoor.GrayBird.ad ( 灰鴿子)服務端 運行後會打開後門連線埠,等待攻擊者的遠程控制。如果服務端 採用自動上線配置,通過生成服務端時設定的 URL ,主動連線到遠程攻擊者接受控制,因為其利用 “ 反彈連線埠原理 ” ,所以可穿過某些防火牆。
攻擊者連線成功後便可 監控服務端螢幕,截獲 oicq,icq, 及網路遊戲,信箱,上網賬號等敏感信息,並且具有讀寫檔案,修改註冊表功能, 同時還可在服務端開啟 Socks5 及 FTP 服務,是一種危險性較高的木馬。
拷貝服務端到系統,路徑可能為 %System%, %Windows%, %temp% ,服務端名稱可能為GrayPigeon.exe, GrayPigeon.bat, GrayPigeon, Winlogo.EXE, Windows.EXE,RAVMOND.EXE, SP00LSV.EXE, SVCH0ST.EXE
向註冊表添加鍵值,隨系統啟動:
如果是 win9x 系統,將向 win.ini 中添加鍵值。
你可以去下個最新的MCAFEE來殺掉它,MCAFEE是灰鴿子的剋星!
1.若是98/me,重啟進安全模式,若是2000/xp,用任務管理器結束Svch0st.exe進程(看清與系統進程svchost.exe名稱上的區別,可別弄錯了啊)。
3.刪除以下鍵值:
1)
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunServices
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run
下的
\"svchost\"=\"%System%\\Svch0st.exe\"
\"winlogon\"=\"%System%\\Winlogon.exe\"
\"system\"=\"%System%\\Explorer.exe\"
2)(對於Windows NT/2000/XP)
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Windows
下的
\"run\"=\"%system%\\svch0st.EXE\"
對於Windows NT/2000/XP,至此一切OK!
4.(對於Windows98/Me)
1)(僅對於Me)
刪除C:\\Windows\\Recent folder資料夾下的Win.ini檔案
2)開始-運行,edit c:\\windows\\win.ini,
在[windows]區域中,找到類似
run=C:\\WINDOWS\\SYSTEM\\SVCH0ST.EXE 的一項,刪除之,保存退出。
呵呵~~~~~~~~問題解決了嗎?