Problema de las palomas de vertedero
(1) La paloma gris es una famosa puerta trasera doméstica. En comparación con sus predecesores "Glacier" y "Black Hole", se puede decir que "Gray Pigeon" es el maestro de las puertas traseras domésticas. Sus funciones ricas y poderosas, operaciones flexibles y buen ocultamiento eclipsan a otras puertas traseras. La operación del cliente es simple y conveniente, lo que permite a los principiantes actuar como piratas informáticos. Cuando se usa legalmente, Gray Pigeon es un excelente software de control remoto. Pero si haces algo ilegal con él, Grey Pigeon se convierte en una herramienta de piratería muy poderosa. Es como la pólvora, utilizada en diferentes situaciones, traerá diferentes efectos a los humanos. Quizás solo el autor de Grey Pigeon pueda dar una introducción completa a Grey Pigeon. Aquí solo podemos dar una breve introducción.
El cliente y el servidor de Gray Pigeon están escritos en Delphi. Los piratas informáticos utilizan programas cliente para configurar programas del lado del servidor. La información configurable incluye principalmente el tipo de conexión (como espera de conexión o conexión activa), IP pública (nombre de dominio) utilizada por las conexiones activas, contraseña de conexión, puerto utilizado, nombre del elemento de inicio, nombre del servicio, método de ocultación del proceso, shell utilizado, agente, iconos, etc
Hay muchas formas de conectar el servidor al cliente, por lo que los usuarios de diversos entornos de red pueden resultar envenenados, incluidos los usuarios de LAN (a través de servidores proxy), los usuarios de redes públicas y los usuarios de acceso telefónico ADSL.
A partir del 21 de marzo de 2007, Grey Pigeon detuvo por completo su desarrollo y registro debido a disputas legales sobre la seguridad en Internet[1]. Las versiones existentes de Gray Pigeon en Internet son software Gray Pigeon desarrollado previamente y sus versiones modificadas.
(2) Autor Ge Jun (1982-) Nativo de Anhui Qianshan, administrador de Gray Pigeon Studio, competente en Delphi, ASP y programación de bases de datos. En 2001, aplicó por primera vez conexiones de rebote al software de control remoto en 2005. En abril de este año, hubo otro aumento en el uso de software de control remoto de conexión de rebote en China. La tecnología de unidad virtual se aplicó al control de pantalla de Gray Pigeon, lo que hizo que el control de pantalla de Gray Pigeon alcanzara el nivel avanzado internacional. .
Ge Jun, el fundador de "Gray Pigeon Studio", es un programador discreto pero llamativo.
(3) Servidor:
El nombre del archivo del servidor configurado es G_Server.exe (este es el valor predeterminado, pero por supuesto se puede cambiar). Luego, el pirata informático utiliza cualquier medio para engañar al usuario para que ejecute el programa G_Server.exe.
Después de ejecutarse, G_Server.exe se copiará al directorio de Windows (98/xp es el directorio de Windows del disco del sistema, 2k/NT es el directorio Winnt del disco del sistema) y luego a G_Server. dll y G_Server_Hook.dll Liberación desde el principal al directorio de Windows. Los tres archivos G_Server.exe, G_Server.dll y G_Server_Hook.dll cooperan entre sí para formar el servidor Gray Pigeon, y G_Server_Hook.dll es responsable de ocultar Gray Pigeon. G_Server_Hook.dll es responsable de ocultar Gray Pigeon. Oculta los archivos de Gray Pigeon, las entradas del registro de servicios e incluso los nombres de los módulos en el proceso al interceptar las llamadas API del proceso. Las funciones interceptadas son principalmente funciones utilizadas para atravesar archivos, atravesar claves de registro y atravesar módulos de proceso. Por lo tanto, a veces los usuarios sentirán que se les ha implantado un virus, pero tras una inspección más cercana, no pueden encontrar ninguna anomalía. Algunos Gray Pigeons lanzarán un archivo adicional llamado G_ServerKey.dll para registrar las operaciones del teclado. Tenga en cuenta que el nombre G_Server.exe no es fijo, se puede personalizar. Por ejemplo, cuando el nombre del archivo del servidor se personaliza como A.exe, los archivos generados son A.exe, A.dll y A_Hook .dll.
El archivo G_Server.exe en el directorio de Windows se registra como un servicio (el sistema 9X escribirá un elemento de inicio del registro) y puede ejecutarse automáticamente cada vez que se inicia la computadora, y G_Server.dll se iniciará después de ejecutar y G_Server_Hook.dll y saldrá automáticamente. El archivo G_Server.dll implementa la funcionalidad de puerta trasera para comunicarse con el cliente de la consola, mientras que G_Server_Hook.dll oculta el virus interceptando llamadas API. Por lo tanto, después del envenenamiento, no podemos ver el archivo de virus ni los elementos de servicio registrados por el virus. Debido a las diferentes configuraciones de los archivos del lado del servidor de Gray Dove, G_Server_Hook.dll a veces se adjunta al espacio de proceso de Explorer.exe y, a veces, a todos los procesos.
El autor de Grey Pigeon se esforzó mucho en cómo evadir el software antivirus. Dado que algunas funciones API son interceptadas, es difícil atravesar los archivos y módulos de Gray Pigeon en modo normal, lo que dificulta su detección y eliminación. Al mismo tiempo, también es problemático desinstalar la biblioteca dinámica de Gray Pigeon y garantizar que el proceso del sistema no falle, lo que ha provocado la reciente proliferación de Gray Pigeon en Internet.
[Editar este párrafo] Los beneficios económicos que aporta Grey Pigeon a los piratas informáticos
Los piratas informáticos pueden gastar 100 yuanes para descargar Grey Pigeon en el sitio web de Gray Pigeon Studio y 200 yuanes en línea Buscar un experto para aprender a utilizar Grey Pigeon. Los piratas informáticos pueden controlar cientos de usuarios al día y los internautas los llaman "broilers". Según el hacker Wang, puede capturar 200 pollos al día. En las zonas desarrolladas de Jiangsu y Zhejiang, los pollos de engorde se pueden vender por 3 o 4 yuanes, y en zonas comunes se pueden vender por 1 yuan. al día, y los buenos se pueden vender por decenas de yuanes o incluso 1.000 yuanes, los normales sólo cuestan unos pocos yuanes. El pago mensual promedio es de 3.000 yuanes. Según Wang, esto sigue siendo una cantidad pequeña. Algunos piratas informáticos incluso ganan decenas de miles de yuanes al mes.
Algunas empresas con malas ideas contratarán piratas informáticos para invadir otras empresas, realizar ataques o robar información y luego pagar una cierta cantidad de compensación. También hay personas que quieren "burlarse" de sus amigos en línea o con otros fines y quieren hacerles bromas. A menudo habrá consecuencias graves.
Grey Pigeon: variante de ataque
El Centro Nacional de Respuesta a Emergencias contra Virus Informáticos descubrió a través de un seguimiento de Internet que recientemente había aparecido una nueva variante "Gray Pigeon". Los expertos señalaron que después de que esta variante infecte el sistema informático y se ejecute, el virus se copiará al directorio especificado del sistema y establecerá los atributos del archivo en solo lectura, oculto o archivado, lo que hará imposible que los usuarios de computadoras lo descubran y eliminen. . Esta variante también modifica los elementos de inicio en el registro del sistema infectado, permitiendo que la variante se ejecute automáticamente cuando se inicia el sistema informático.
Además, la variante crea un nuevo proceso IE en el sistema operativo infectado, establece sus propiedades en ocultas e inserta el archivo de virus en el proceso. Si un atacante malintencionado utiliza esta variante para invadir un sistema informático infectado, el sistema operativo infectado se conectará activamente a un servidor designado en Internet y descargará otros virus, troyanos y otros programas maliciosos. Al mismo tiempo, el atacante malicioso también robará. las operaciones del teclado del usuario de la computadora (como el nombre de la cuenta de inicio de sesión y la información de la contraseña, etc.), lo que eventualmente lleva a que el sistema informático infectado sea completamente controlado, amenazando seriamente el sistema y la seguridad de la información de los usuarios de la computadora. Los atacantes también robarán la información del teclado del usuario de la computadora (como el nombre de la cuenta de inicio de sesión y la información de la contraseña, etc.), lo que eventualmente conducirá a que el sistema informático infectado quede completamente controlado, amenazando seriamente el sistema y la seguridad de la información del usuario de la computadora.
[Nota del editor] Detección manual de Gray Pigeon
Dado que Gray Pigeon intercepta llamadas API, los archivos de programa del lado del servidor y sus servicios registrados están ocultos en modo normal. , incluso si está configurado "Mostrar todos los archivos ocultos", no podrá verlo. Además, los nombres de los archivos del servidor Gray Pigeon se pueden personalizar, lo que dificulta su detección manual.
Sin embargo, tras una cuidadosa observación, comprobamos que la detección de palomas grises sigue siendo regular. Del análisis anterior del principio operativo, podemos ver que no importa cuál sea el nombre del archivo personalizado del lado del servidor, generalmente se generará un archivo que termina en "_hook.dll" en el directorio de instalación del sistema operativo. Esto nos permite detectar manualmente los servidores de Gray Pigeon con mayor precisión.
Dado que Grey Pigeon se esconde en modo normal, Gray Pigeon debe ser detectado en modo seguro. El método para ingresar al modo seguro es: inicie la computadora, presione la tecla F8 (o mantenga presionada la tecla Ctrl al iniciar la computadora) antes de que el sistema ingrese a la pantalla de inicio de Windows y seleccione "Modo seguro" o "Modo seguro" en el menú de opciones de arranque que aparece ". En el menú de opciones de inicio que aparece, seleccione Modo seguro o Modo seguro.
1. Dado que el archivo Gray Pigeon en sí tiene un atributo oculto, Windows debe configurarse para mostrar todos los archivos. Abra "Mi PC", seleccione el menú "Herramientas" - "Opciones de carpeta", haga clic en "Ver", quite la marca de verificación frente a "Ocultar archivos protegidos del sistema operativo" y haga clic en el elemento "Archivos y carpetas ocultos" Seleccione "Mostrar todos los archivos y carpetas". "Luego haga clic en "Aceptar".
2. Abra el "Archivo de búsqueda" de Windows, ingrese "_hook.dll" como nombre de archivo y seleccione el directorio de instalación de Windows como ubicación de búsqueda (predeterminado 98/ xp es C:\windows, 2k/NT es C:\windows, 2k/NT es C:\windows, 2k/NT es C:\windows para C:\Winnt> 3). Después de buscar, encontramos un archivo llamado Game_Hook.dll en el directorio de Windows (excluidos los subdirectorios)
4. Según el análisis del principio de la paloma gris, sabemos que si Game_Hook.DLL es un archivo de la paloma gris , por lo que también habrá archivos Game.exe y Game.dll en el directorio de instalación del sistema operativo. Abra el directorio de Windows y, efectivamente, están estos dos archivos, y también hay un GameKey.dll para registrar las operaciones del teclado. .
Después de estos pasos, básicamente podemos determinar que estos archivos son servidores de Gray Pigeon y podemos eliminarlos manualmente
[Editar este párrafo] 3. Eliminar Gray manualmente. Pigeon<. /p>
Después del análisis anterior, es muy fácil eliminar Gray Pigeon. Para eliminar Gray Pigeon, aún debes operar en modo seguro. 1. Elimine el servicio Gray Pigeon;
2. Elimine los archivos del programa Gray Pigeon
Nota: Para evitar un uso indebido, asegúrese de realizar una copia de seguridad antes de eliminarlos. p> (1) Eliminar el servicio Gray Pigeon
Tenga en cuenta que la eliminación del servicio Gray Pigeon debe completarse en el registro. Los usuarios que no estén familiarizados con el registro deben pedir ayuda a alguien que esté familiarizado con la operación. Para eliminar el servicio Gray Pigeon, debe hacer una copia de seguridad del registro o ir a Cambiar el nombre del archivo de registro en DOS puro y luego eliminar el servicio Gray Pigeon del registro porque el virus se asociará con el archivo EXE.
Sistema 2000/XP:
1. Abra el Editor del Registro (haga clic en "Inicio" - "Ejecutar", escriba "Regedit.exe"). Además, abra HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services. clave de registro. > 2. Haga clic en el menú "Editar" - "Buscar", ingrese "game.exe" en "Buscar destino", haga clic en Aceptar, podemos encontrar el elemento de servicio Gray Pigeon (en este caso es Game_Server, todos sirven). Estos artículos tienen diferentes nombres).
3. Elimina todo el elemento Game_Server.
Sistemas 98/me:
En los sistemas 9X, solo hay un elemento de inicio de Gray Pigeon, por lo que eliminarlo es relativamente sencillo.
Ejecute el editor de registro y abra el elemento HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run. Inmediatamente veremos un elemento llamado Game.exe. Simplemente elimine el elemento Game.exe.
(2) Eliminar archivos de programa de Gray Pigeon
Eliminar archivos de programa de Gray Pigeon es muy sencillo: simplemente elimine Game.exe, Game.dll y Game_Hook en el directorio de Windows en modo seguro. .dll y Gamekey.dll y luego reinicie la computadora. En este punto, el servidor Gray Pigeon VIP 2005 ha sido limpiado.
El método anterior es adecuado para la mayoría de los troyanos Gray Pigeon y sus variantes que hemos visto, pero todavía hay algunas variantes que no se pueden detectar ni eliminar con este método. Al mismo tiempo, con el lanzamiento continuo de nuevas versiones de Gray Pigeon, el autor puede agregar algunos nuevos métodos de ocultación y métodos anti-eliminación, lo que hace que sea cada vez más difícil detectarlo y eliminarlo manualmente.
4. Cosas a las que debes prestar atención para prevenir el virus Grey Pigeon.
1. Instala parches en el sistema. Instalar parches del sistema (actualizaciones críticas, actualizaciones de seguridad y service packs) a través de Windows Update, entre los que se encuentran MS04-011, MS04-012, MS04-013, MS03-001, MS03-007, MS03-049, MS04-032, etc. Muy utilizado por virus, es un parche muy necesario.
2. Establezca una contraseña suficientemente compleja y segura para la cuenta del administrador del sistema, preferiblemente de más de 10 caracteres, compuesta por letras + números + otros símbolos. También puede desactivar/eliminar cuentas no utilizadas
<; p> 3. Actualice el software antivirus (base de datos de virus) con frecuencia y configúrelo para permitir actualizaciones automáticas en horarios programados todos los días. Instalar y utilizar correctamente el software de firewall de red. Los firewalls de red también pueden desempeñar un papel vital en el proceso antivirus y pueden bloquear eficazmente ataques e intrusiones de virus desde la red. Algunos usuarios de Windows pirateado no pueden instalar parches normalmente, lo cual es bastante inútil. Es posible que estos usuarios deseen utilizar firewalls de red para cierta protección.4. Cierre algunos servicios innecesarios. Si las condiciones lo permiten, puede cerrar los servicios innecesarios. Acciones ****, incluidas C$, D$ y otras acciones **** de gestión. Los usuarios completamente independientes pueden cerrar directamente el servicio del servidor.
. Descargar el sistema de escaneo HijackThis
A diferencia del "llamativo" virus Panda Burner, Gray Pigeon se parece más a un ladrón invisible que acecha en la "casa" del usuario. En la "casa" del usuario, se monitorean cada movimiento del usuario, e incluso las palabras y acciones del usuario que conversa con amigos de MSN y QQ no pueden escapar a los ojos de las "palomas". Los expertos dijeron que "Panda Burning Incense" todavía se limita a la autodestrucción de computadoras, mientras que "Gray Pigeon" se ha desarrollado para controlar "personas" sin que la persona controlada sepa nada al respecto. En cierto sentido, el daño y peligro de la "paloma gris" supera 10 veces el del "panda quemando incienso".
Cómo "Gray Pigeon" controla las computadoras con fines de lucro
La "Clase de capacitación de hackers" enseña a los internautas a controlar las computadoras de otras personas a través de "Gray Pigeon". El costo de la matrícula "es de hasta 200 yuanes, el mínimo es de 50 yuanes y el tiempo varía de una semana a un mes.
Los piratas informáticos controlan las computadoras de otras personas a través de programas y venden "pollos de engorde" a los anunciantes. , y el precio de los "pollos de engorde" oscila entre 1 centavo y 1 yuan. Los vendedores avanzados pueden vender 100.000 "pollos de engorde" al mes
Controle la computadora para colocar anuncios a voluntad, o simplemente controle. la computadora hace clic en los anuncios del sitio web y se monitorean todos sus movimientos.
Copie la ruta del archivo directamente a Killbox y elimínelo
Generalmente un archivo como este: "Nombre del servicio" determinado por el servicio HijackThis
C:\windows\. dll
C:\windows\service.exe
C:\windows\service.exe
\p C:\windows\service_name.bat
C:\windows\service_name_key.dll
C:\windows\service_key.dll