¿Qué es una paloma gris? ¿Es realmente útil?
Virus de la paloma gris
La paloma gris es una puerta trasera muy conocida en China. En comparación con sus predecesores Glacier y Black Hole, se puede decir que Grey Pigeon es el maestro de las puertas traseras domésticas. Sus funciones ricas y poderosas, operaciones flexibles y buen ocultamiento eclipsan a otras puertas traseras. El funcionamiento sencillo y práctico del cliente permite a los principiantes convertirse en piratas informáticos. Cuando se usa legalmente, Gray Dove es un excelente software de control remoto. Pero si lo usas para hacer algo ilegal, Grey Pigeon se convierte en una herramienta de hacking muy poderosa. Esto es como la pólvora, utilizada en diferentes situaciones, produce diferentes efectos en los seres humanos. Quizás solo el autor de Grey Pigeon pueda dar una introducción completa a Grey Pigeon, por lo que aquí solo podemos dar una breve introducción.
El cliente y el servidor de Gray Pigeon están escritos en Delphi. Los piratas informáticos utilizan el programa cliente para configurar el programa servidor. La información configurable incluye principalmente el tipo de conexión (como espera de conexión o conexión activa), IP pública (nombre de dominio) utilizada cuando se conecta activamente, contraseña de conexión, puerto utilizado, nombre del elemento de inicio, nombre del servicio, método de ocultación del proceso y shell utilizado, agentes. , íconos y más.
La siguiente es una introducción al cliente:
La configuración de la contraseña de conexión permite que el programa del servidor Gray Pigeon sea controlado únicamente por el hacker que lo configuró, evitando la competencia entre hackers. .
Hay muchas formas de conectar el servidor al cliente, por lo que los usuarios de diversos entornos de red pueden resultar infectados, incluidos los usuarios de LAN (que acceden a Internet a través de servidores proxy), los usuarios de redes públicas y los usuarios de acceso telefónico ADSL. .
¡Solo se utiliza un puerto para transmitir todos los datos de comunicación! Generalmente, un software similar utiliza dos o más puertos para completarse.
¡Admite computadoras que pueden controlar la conexión compartida a Internet y el acceso a Internet mediante proxy transparente HTTP! El software lee de forma inteligente la información del servidor proxy configurada por el sistema, ¡sin configuración del usuario!
¡Puedes configurar el servidor para que abra la función de servidor proxy Socks5 y la función de servicio proxy HTTP! ¡No se requiere soporte de software de terceros! Compatible con Windows9x/ME/2000/Xp/2003. Conveniente para que los piratas informáticos lancen ataques trampolín.
Además de monitoreo de voz y envío de voz, también tiene funciones de monitoreo remoto de video. Solo si la computadora remota tiene una cámara y se abre normalmente y no está ocupada, entonces podrá ver las imágenes capturadas. la cámara remota! También puede guardar las imágenes capturadas por la cámara remota en formato Mpeg-1. La voz remota también se puede grabar como archivos de sonido Wav.
Casi puedes encontrar todas las funciones de otras puertas traseras en Grey Pigeon. Y cada función es muy detallada y muy fácil de usar. La interfaz general es relativamente refrescante y fácil de usar. Cada pequeño detalle está bien considerado. Casi todas las ideas ideales que se puedan imaginar se han realizado. Sin embargo, la comodidad de los piratas informáticos no es buena para la mayoría de los usuarios.
El servidor se presenta a continuación:
El archivo del servidor configurado se llama G_Server.exe (este es el valor predeterminado, pero por supuesto se puede cambiar). Luego, los piratas informáticos utilizan todos los medios para engañar a los usuarios para que ejecuten el programa G_Server.exe. Los lectores pueden dar rienda suelta a su imaginación en cuanto al método específico, por lo que no entraré en detalles aquí.
Cuando se ejecuta G_Server.exe por primera vez, se copia en el directorio de Windows (el sistema operativo 98/XP es el directorio de Windows del disco del sistema, 2K/NT es el directorio winnt del disco del sistema) y lo registra como un servicio (el nombre del servicio se configuró anteriormente) y luego libera 2 archivos del cuerpo al directorio de Windows: G_Server.dll, G_Server_Hook.dll (la versión reciente de Gray Pigeon liberará 3 archivos, uno más G_ServerKey. exe, utilizado principalmente para grabar operaciones de teclado). Luego inyecte G_Server.dll y G_Server_Hook.dll en Explorer.exe, IExplorer.exe o todos los procesos para su ejecución.
Luego se cierra G_Server.exe y las dos bibliotecas dinámicas continúan ejecutándose. Dado que el virus no tiene un proceso independiente cuando se ejecuta, el virus está bien oculto. Cada vez que inicie la computadora en el futuro, G_Server.exe en el directorio de Windows se ejecutará automáticamente, activará la biblioteca dinámica y luego saldrá, para no despertar sospechas del usuario.
G_Server.dll implementa la función de puerta trasera y se comunica con el terminal de control. La poderosa función de Grey Dove se refleja principalmente aquí. Las operaciones que los piratas informáticos pueden realizar en máquinas envenenadas incluyen: administración de archivos, obtención de información del sistema, visualización del portapapeles, administración de procesos, administración de ventanas, registro de teclas, administración de servicios, administración de uso compartido privado, provisión de shell MS-Dos, provisión de servicios proxy, registro, edición de tablas, inicio. servicio telnet, captura de pantalla, monitoreo de video, monitoreo de audio, envío de audio, desinstalación de Gray Pigeon ... Se puede decir que la información que los usuarios pueden ver localmente también se puede ver usando el monitoreo remoto de Gray Pigeon. Especialmente el monitoreo de pantalla y el monitoreo de video y audio son más peligrosos. Si un usuario realiza transacciones bancarias en línea en una computadora, el monitoreo remoto de la pantalla puede exponer fácilmente el número de cuenta del usuario. Junto con el monitoreo del teclado, la contraseña del usuario también está en riesgo. La vigilancia por vídeo y audio puede revelar fácilmente los propios secretos del usuario, como la "apariencia" y la "voz".
G_Server_Hook.dll es responsable de ocultar las palomas grises. Al interceptar las llamadas API del proceso, oculta los archivos de Gray Pigeon, las entradas del registro de servicios e incluso los nombres de los módulos en el proceso. Las funciones interceptadas son principalmente funciones utilizadas para atravesar archivos, atravesar entradas de registro y atravesar módulos de proceso. Por lo tanto, a veces los usuarios sienten que han sido envenenados, pero tras una inspección cuidadosa no encuentran nada inusual.
El autor de Grey Pigeon dedicó mucho esfuerzo a cómo escapar de la detección del software antivirus. Debido a que algunas funciones API fueron interceptadas, fue difícil atravesar los archivos y módulos de Gray Pigeon en modo normal, lo que provocó dificultades en la detección y eliminación. También es muy problemático desinstalar la biblioteca dinámica de Gray Pigeon y asegurarse de que el proceso del sistema no falle, lo que ha provocado la reciente proliferación de Gray Pigeon en Internet.
Referencia:/Html/200569145010-1.Html