¡Este troyano me ha atormentado durante tres días!
Principios y métodos de eliminación del virus Grey Pigeon.
La Paloma Gris es un virus de puerta trasera muy conocido en China. En comparación con sus predecesores Glacier y Black Hole, se puede decir que Grey Pigeon es el maestro de las puertas traseras domésticas. Sus ricas y poderosas funciones, su operación flexible y su buen ocultamiento hacen que otras puertas traseras sean incomparables. La operación del cliente es simple y conveniente, lo que permite a los principiantes actuar como piratas informáticos. Cuando se usa legalmente, Gray Pigeon es un excelente software de control remoto. Pero si haces algo ilegal con él, Grey Pigeon se convierte en una herramienta de piratería muy poderosa. Es como la pólvora, utilizada en diferentes situaciones, traerá diferentes efectos a los humanos. Es posible que solo el autor de Grey Pigeon conozca la introducción completa a Grey Pigeon, por lo que aquí solo podemos dar una breve introducción.
El cliente y el servidor de Grey Pigeon están escritos en Delphi. Los piratas informáticos utilizan programas cliente para configurar programas de servidor. La información configurable incluye principalmente el tipo de conexión (como espera de conexión o conexión activa), IP pública (nombre de dominio) utilizada por las conexiones activas, contraseña de conexión, puerto utilizado, nombre del elemento de inicio, nombre del servicio, método de ocultación del proceso, shell utilizado, agente, iconos, etc Al establecer una contraseña de conexión, el programa del lado del servidor Gray Pigeon sólo puede ser controlado por el hacker que lo configuró, evitando así la competencia entre los hackers.
Hay muchas formas de conectar el servidor y el cliente, por lo que puede envenenar a los usuarios en diversos entornos de red, incluidos los usuarios de LAN (que acceden a Internet a través de servidores proxy), usuarios de redes públicas, usuarios de acceso telefónico ADSL, etc.
El servidor sólo puede conectarse al cliente a través de un proxy, lo que posibilita el envenenamiento del usuario.
¡Solo se utiliza un puerto para todos los datos de comunicación! Un software similar común utilizará dos o más puertos para comunicarse. Admite computadoras que pueden controlar la conexión a Internet **** ¡Disfruta de la navegación proxy transparente HTTP! El software lee de forma inteligente la información del servidor proxy configurada por el sistema, ¡sin configuración del usuario!
¡Puedes configurar el servidor para habilitar la función de servidor proxy Socks5 y la función de servicio proxy HTTP!
¡Puedes configurar el servidor para habilitar la función de servidor proxy Socks5 y la función de servicio proxy HTTP!
Es compatible con Windows 9x/ME/2000/Xp/2003, lo que permite a los piratas informáticos realizar ataques trampolín.
Además del monitoreo de voz y el envío de voz, también hay una función de monitoreo remoto de video. Siempre que haya una cámara en la computadora remota y esté encendida normalmente sin estar ocupada, podrá ver la imagen. Imágenes capturadas por la cámara remota. También puede guardar fotografías tomadas con cámaras remotas en formato Mpeg-1. La voz remota también se puede grabar en archivos de sonido Wav.
La funcionalidad de otras puertas traseras también se encuentra en Grey Pigeon. Y cada función se realiza con mucho cuidado y es muy fácil de usar. La interfaz general es relativamente refrescante y fácil de usar. Cada pequeño detalle está bien considerado y casi todos los ideales que se pueden imaginar se han realizado. Sin embargo, para la mayoría de los usuarios, la facilidad de pirateo no es algo bueno.
El lado del servidor se presenta a continuación:
El nombre del archivo configurado del lado del servidor es G_Server.exe (este es el valor predeterminado, pero, por supuesto, se puede cambiar). Luego, el pirata informático utiliza varios métodos para engañar al usuario para que ejecute el programa G_Server.exe. En cuanto a los métodos utilizados, los lectores pueden dar rienda suelta a su imaginación, por lo que no entraré en detalles aquí.
Cuando se ejecuta G_Server.exe por primera vez, se copia en el directorio de Windows (el sistema operativo 98/XP es el directorio de Windows del disco del sistema, 2K/NT es el directorio winnt del disco del sistema) y lo registra como un servicio (el nombre del servicio se configuró anteriormente) y luego libera 2 archivos del texto en el directorio de Windows: G_Server.dll, G_Server_Hook.dll (la última versión de Gray Pigeon lanzará 3 archivos, incluido un G_ServerKey adicional .exe, utilizado principalmente para registrar las operaciones del teclado). Luego inyecte G_Server.dll, G_Server_Hook.dll en Explorer.exe, IExplorer.exe o todos los procesos para su ejecución. Luego se cierra G_Server.exe y las dos bibliotecas de vínculos dinámicos continúan ejecutándose. Dado que el virus no se ejecuta como un proceso separado, está bien oculto. Cada vez que encienda la computadora en el futuro, G_Server.exe en el directorio de Windows se ejecutará automáticamente, activará la biblioteca dinámica y luego saldrá, para que no despierte sospechas del usuario.
G_Server.dll implementa la función de puerta trasera para comunicarse con la consola. La poderosa función de Grey Dove se refleja principalmente aquí. Las operaciones que los piratas informáticos pueden realizar en la máquina envenenada incluyen: administración de archivos, obtención de información del sistema, visualización del portapapeles, administración de procesos, administración de ventanas, registro de teclas, administración de servicios, administración de intercambio de datos, provisión de shell MS-Dos y servicios de proxy. , edición de registro, inicio del servicio telnet, captura de pantalla, monitoreo de video, monitoreo de audio, envío de audio, desinstalación de Gray Pigeon. ... Se puede decir que lo que los usuarios pueden ver localmente también se puede ver a través del monitoreo remoto de Gray Pigeon. En particular, la vigilancia por pantalla y la vigilancia por vídeo y audio son más dañinas. Si un usuario realiza transacciones bancarias en línea en una computadora, el monitoreo remoto de la pantalla puede exponer fácilmente el número de cuenta del usuario, mientras que el monitoreo del teclado también puede comprometer la contraseña del usuario. La vigilancia por vídeo y audio también puede revelar los propios secretos de un usuario, como su "rostro" y su "voz".
G_Server_Hook.dll es responsable de ocultar Gray Pigeon. Oculta los archivos de Gray Pigeon, las entradas del registro de servicios e incluso los nombres de los módulos dentro del proceso al interceptar las llamadas API del proceso. Las funciones interceptadas son principalmente funciones utilizadas para atravesar archivos, atravesar claves de registro y atravesar módulos de proceso. Así que hay momentos en los que te sientes como si te hubieran envenenado, pero una inspección más cercana no revela nada inusual.
El autor de Gray Pigeon se esforzó mucho en cómo evitar el software antivirus. Dado que algunas funciones API son interceptadas, es difícil atravesar los archivos y módulos de Gray Pigeon en modo normal, lo que dificulta su detección y eliminación. Al mismo tiempo, también es problemático desinstalar la biblioteca dinámica de Gray Pigeon y garantizar que el proceso del sistema no falle, lo que ha provocado la reciente proliferación de Gray Pigeon en Internet.
El principio de funcionamiento de Gray Pigeon
El troyano Gray Pigeon se divide en dos partes: el lado del cliente y el lado del servidor. El atacante manipula el cliente y utiliza la configuración del cliente para generar programas del lado del servidor. El nombre predeterminado del archivo del lado del servidor es G_Server.exe. Después de ejecutarse, G_Server.exe se copiará en el directorio de Windows (directorio de Windows del disco del sistema 98/xp, directorio Winnt del disco del sistema 2k/NT) y luego liberará G_Server.dll y G_Server_G_Server.exe, G_Server.dll y G_Server_Hook. .dll Estos tres archivos forman el servidor Gray Pigeon. Algunos Gray Pigeons también lanzarán un archivo adicional llamado G_ServerKey.dll para registrar las operaciones del teclado.
Tenga en cuenta que el nombre del archivo G_Server.exe no es fijo. Se puede personalizar. Por ejemplo, cuando el nombre del archivo del lado del servidor se personaliza como A.exe, los archivos generados son A.exe, A.dll y A_Hook. dll.
El archivo G_Server.exe en el directorio de Windows se compone de tres archivos. El archivo G_Server.exe en el directorio de Windows se registra como un servicio (el sistema 9X escribe un elemento de inicio del registro), que puede ejecutarse automáticamente cada vez que se inicia la computadora. Después de ejecutar, G_Server.dll y G_Server_Hook.dll se inician y salen. automáticamente. El archivo G_Server.dll implementa la funcionalidad de puerta trasera y se comunica con el cliente de la consola, mientras que G_Server_Hook.dll oculta el virus interceptando llamadas API. Por lo tanto, después del envenenamiento, no podemos ver el archivo de virus ni los elementos de servicio registrados por el virus. Debido a las diferentes configuraciones de los archivos del lado del servidor de Gray Dove, G_Server_Hook.dll a veces se adjunta al espacio de proceso de Explorer.exe y, a veces, a todos los procesos.
Detección manual de Gray Pigeon
Debido a que Gray Pigeon intercepta llamadas API, el archivo troyano y su servicio registrado están ocultos en el modo normal, lo que significa que incluso si configura "Mostrar todo oculto files", tampoco puedo verlos. Además, los nombres de los archivos del servidor Gray Pigeon se pueden personalizar, lo que dificulta su detección manual.
Sin embargo, tras una cuidadosa observación, comprobamos que la detección de palomas grises sigue siendo regular. Del análisis anterior del principio operativo, podemos ver que no importa cuál sea el nombre del archivo personalizado del lado del servidor, generalmente se generará un archivo que termina en "_hook.dll" en el directorio de instalación del sistema operativo. Con esto, podemos detectar manualmente el troyano Gray Pigeon con mayor precisión.
Dado que Grey Pigeon se esconde en modo normal, Gray Pigeon debe ser detectado en modo seguro. El método para ingresar al modo seguro es: inicie la computadora, presione la tecla F8 (o mantenga presionada la tecla Ctrl al iniciar la computadora) antes de que el sistema ingrese a la pantalla de inicio de Windows y seleccione "Modo seguro" o "Modo seguro" en el menú de opciones de arranque que aparece ".
1. Dado que los archivos de Gray Pigeon tienen atributos ocultos, es necesario configurar Windows para mostrar todos los archivos. Abra "Mi PC", seleccione el menú "Herramientas" - "Opciones de carpeta", haga clic en "Ver", elimine la marca de verificación frente a "Ocultar archivos protegidos del sistema operativo" y seleccione "Archivos y carpetas ocultos". Seleccione "Mostrar todo". archivos y carpetas" y haga clic en "Aceptar".
2. Abra el "Archivo de búsqueda" de Windows, ingrese "_hook.dll" en el nombre del archivo y seleccione el directorio de instalación de Windows como ubicación de búsqueda (el valor predeterminado es C:\windows para 98/ xp y C:\windows para 2k/NT) C:\Winnt).
3. Después de buscar, encontramos un archivo llamado Game_Hook.dll en el directorio de Windows (excluyendo los subdirectorios).
4. Según el análisis del principio de la paloma gris, sabemos que si Game_Hook.DLL es un archivo de la paloma gris, también habrá archivos Game.exe y Game.dll en el directorio de instalación de. el sistema operativo. Abra el directorio de Windows y, efectivamente, encontrará estos dos archivos, así como un archivo GameKey.dll para registrar las operaciones del teclado. Después de los pasos anteriores, básicamente podemos confirmar que estos archivos son troyanos Gray Pigeon y que puede eliminarlos manualmente.
Eliminar manualmente Grey Pigeon
Después del análisis anterior, eliminar Gray Pigeon es muy sencillo. Para eliminar Gray Pigeon, aún necesita operar en modo seguro. Hay dos pasos principales: 1. Eliminar el servicio Gray Pigeon. 2. Eliminar los archivos del programa Gray Pigeon.
Nota: Para evitar un mal uso, asegúrese de realizar una copia de seguridad antes de eliminarlo.
1. Elimine el servicio Gray Pigeon
sistema 2000/XP:
1. Abra el editor de registro (haga clic en "Inicio"-"Ejecutar" e ingrese. "Regedit.exe", Aceptar), abra HKEY_LOCALIZATION_SERVICE, luego haga clic en "Inicio" - "Ejecutar", ingrese "Regedit.exe", Aceptar.
1. Abra la clave de registro HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services.
2. Haga clic en el menú "Editar" -> "Buscar", ingrese "G_Server.exe" en "Objetivo de búsqueda", haga clic en Aceptar y podremos encontrar el servicio Grey Pigeon.
3. Elimine todo el elemento G_Server.
Sistema 98/me:
En 9X, solo hay un elemento de inicio de Gray Pigeon, por lo que es más fácil eliminarlo. Ejecute el editor de registro y abra el elemento HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run. Inmediatamente veremos un elemento llamado G_Server.exe. Simplemente elimine el elemento G_Server.exe.
En segundo lugar, elimine los archivos del programa Gray Pigeon
Eliminar los archivos del programa Gray Pigeon es muy sencillo: simplemente elimine G_Server.exe, G_Server.dll y G_Server_Hook en el directorio de Windows de forma segura. mode dll y G_Serverkey.dll y luego reinicie la computadora. En este punto, Grey Pigeon ha sido eliminado.
Método de eliminación manual del virus Grey Pigeon
El autor de Grey Pigeon (Backdoor.Huigezi) no ha dejado de desarrollar Grey Pigeon, y algunas personas también quieren evitar ser asesinadas por anti- software de virus La adición deliberada de diferentes caparazones a las palomas grises ha dado lugar a que aparezcan nuevas variantes de palomas grises en Internet. Si su máquina muestra síntomas de paloma gris pero el software antivirus no puede detectarla, es muy probable que haya sido infectada con una nueva variante pero aún no haya sido bloqueada. En este punto, debes matar las palomas grises manualmente.
Ahuyentar palomas grises manualmente no es difícil, pero es importante que sepamos cómo funciona.
El principio de funcionamiento de Gray Pigeon
El troyano Gray Pigeon se divide en dos partes: el lado del cliente y el lado del servidor. Los piratas informáticos (llamémoslos así) manipulan el cliente y utilizan la configuración del cliente para generar programas del lado del servidor. El nombre del archivo del servidor por defecto es G_Server.exe, y luego los piratas informáticos propagan el troyano a través de varios canales (comúnmente conocidos como plantar troyanos o abrir puertas traseras). Hay muchas formas de implantar un troyano. Por ejemplo, un hacker puede vincularlo a una imagen y luego pretender ser una chica tímida y pasarte el troyano a través de QQ para incitarte a ejecutarlo. También puedes configurar un troyano. página web personal para atraerlo. Después de hacer clic, puede usar las vulnerabilidades de IE para descargar el caballo de Troya en su máquina y ejecutarlo. También puede cargar el archivo en un sitio web de descarga de software y pretender ser un software interesante para atraer a los usuarios a descargar el archivo. .
......
Después de ejecutar, G_Server.exe se copia en el directorio de Windows (98/xp es el directorio de Windows del disco del sistema, 2k/NT es el directorio Winnt del disco del sistema) y luego, desde dentro del cuerpo, suelte G_Server.dll y G_Server_Hook.dll. G_Server.exe, G_Server.dll y G_Server_Hook.dll son los tres archivos que componen el servidor Gray Pigeon. Algunos Gray Pigeons también lanzarán un archivo adicional llamado G_ServerKey.dll para registrar las operaciones del teclado. Tenga en cuenta que el nombre del archivo G_Server.exe no es fijo. Se puede personalizar. Por ejemplo, cuando el nombre del archivo del lado del servidor se personaliza como A.exe, los archivos generados son A.exe, A.dll y A_Hook. dll.