首页 > 知识库 > 正文

Backdoor/Huigezi.2007.dp介绍 了解Backdoor/Huigezi.2007.dp的详细内容

www.shufadashi.com*??*?

什么是灰鸽子?

据估计灰鸽子病毒的危害超出熊猫烧香10倍。 灰鸽子病毒是国内程序开发者开发的一款著名后门病毒程序。灰鸽子程序(Backdoor.Huigezi,backdoor.graybird,backdoor.gpi...

灰鸽子病毒是国内程序开发者开发的一款著名后门病毒程序,灰鸽子病毒传播渠道很多,尤其是灰鸽子2007(Win32.Hack.Huigezi)成为2007年3月份破坏最大的电脑病毒,据估计灰鸽子病毒的危害超出熊猫烧香10倍。 灰鸽子病毒是国内程序开发者开发的一款著名后门病毒程序。灰鸽子程序(Backdoor.Huigezi,backdoor.graybird,backdoor.gpigeon)客户端和服务端都是采用Delphi编写。黑客利用客户端程序配置出服务端程序。可配置的信息主要包括上线类型(如等待连接还是主动连接)、主动连接时使用的公网IP(域名)、连接密码、使用的端口、启动项名称、服务名称,进程隐藏方式,使用的壳,代理,图标等等。 灰鸽子病毒传播渠道很多,尤其是灰鸽子2007(Win32.Hack.Huigezi)对大量电脑安全造成了极大威胁,成为为2007年3月份破坏最大的电脑病毒,据估计灰鸽子病毒的危害超出熊猫烧香10倍 。灰鸽子并非新近出现的病毒,已经有几年的历史,只不过灰鸽子病毒的最新变种灰鸽子2007破坏性极大,如果发现电脑出现了灰鸽子病毒特征,要立刻对电脑进行病毒检测,并利用灰鸽子病毒专杀工具进行查杀,以确认清除灰鸽子病毒。 灰鸽子病毒的运行原理简介 灰鸽子木马分两部分:客户端和服务端。黑客(姑且这么称呼吧)操纵着客户端,利用客户端配置生成一个服务端程序。服务端文件的名字默认为G_Server.exe,然后黑客通过各种渠道传播这个木马(俗称种木马或者开后门)。种木马的手段有很多,比如,黑客可以将它与一张图片绑定,然后假冒成一个羞涩的MM通过QQ把木马传给你,诱骗你运行;也可以建立一个个人网页,诱骗你点击,利用IE漏洞把木马下载到你的机器上并运行;还可以将文件上传到某个软件下载站点,冒充成一个有趣的软件诱骗用户下载…… 由于灰鸽子病毒变种繁多,其文件名也很多变,近来发现的以(Backdoor.GPigeon.sgr)类型居多,不易对付,在被感染的系统%Windows%目录下生成三个病毒文件,分别是 G_Server.exe,G_Server.dll,G_Server_Hook.dll。 G_Server.exe运行后将自己拷贝到Windows目录下(98/xp下为系统盘的windows目录,2k/NT下为系统盘的Winnt目录),然后再从体内释放G_Server.dll和G_Server_Hook.dll到windows目录下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端,有些灰鸽子会多释放出一个名为G_ServerKey.dll的文件用来记录键盘操作。 同时注意,G_Server.exe这个名称并不固定,它是可以定制的,比如当定制服务端文件名为A.exe时,生成的文件就是A.exe、A.dll和A_Hook.dll。 Windows目录下的G_Server.exe文件将自己注册成服务(9X系统写注册表启动项),每次开机都能自动运行,运行后启动G_Server.dll和G_Server_Hook.dll并自动退出。G_Server.dll文件实现后门功能,与控制端客户端进行通信;G_Server_Hook.dll则通过拦截API调用来隐藏病毒。因此,中毒后,我们看不到病毒文件,也看不到病毒注册的服务项。随着灰鸽子服务端文件的设置不同,G_Server_Hook.dll有时候附在Explorer.exe的进程空间中,有时候则是附在所有进程中。 灰鸽子病毒其特点是“三个隐藏”——隐藏进程、隐藏服务、隐藏病毒文件。*www.shufadashi.com*?*?

声明:本网内容旨在传播知识仅供参考,不代表本网赞同其观点,文字及图片版权归原网站所有。

你可能还关注
热门推荐
今日推荐 更多