§ 概述

病毒别名：Backdoor.GrayBird.g【AVP】

处理时间：

威胁级别：★★

中文名称：灰鸽子变种g

病毒类型：黑客程序

影响系统：Win9x/WinNT/Win2K/WinXP/Win2003

病毒行为:

国人编写的一个用于远程控制的黑客软件

编写工具:

delphi编写,aspack压缩

传染条件:

用户误运行

发作条件:

运行后会在随机端口开设后门等待攻击者的远程控制

§ 系统修改:

1,拷贝自身到:

%System%HgzServer.exe

2,向注册表添加:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun

huigezi %System%HgzServer.exe

3,如果是win9x系统将向win.ini添加:

run=%System%HgzServer.exe

4,在tcp21端口开设ftp服务

5,在随机端口开设后门,等待攻击者远程连接

§ 发作现象:

会在系统目录发现HgzServer.exe文件

特别说明:

• vmount2.exe
• vmss.exe
• VMware Workstation
• VM漏洞
• VNC Remote Install
• VNCScan Enterprise Console
• voacanga
• vocalic
• vocation
• vocative
• vociferous
• VOCs
• VOD
• VoDSL
• vod视频点播
• VOGUE
• avocado
• avoid
• Avonex
• avpcc.exe
• avpm.exe
• avsched32.exe
• avserve
• avserve.exe
• avserve2.exe