病毒简介

行为描述

手动修改

病毒简介

Backdoor.GrayBird.ad （ 灰鸽子）服务端 运行后会打开后门端口，等待攻击者的远程控制。如果服务端 采用自动上线配置，通过生成服务端时设定的 URL ，主动连接到远程攻击者接受控制，因为其利用 “ 反弹端口原理 ” ，所以可穿过某些防火墙。

攻击者连接成功后便可 监控服务端屏幕，截获 oicq,icq, 及网络游戏，邮箱，上网账号等敏感信息，并且具有读写文件，修改注册表功能， 同时还可在服务端开启 Socks5 及 FTP 服务，是一种危险性较高的木马。

行为描述

拷贝服务端到系统，路径可能为 %System%, %Windows%, %temp% ，服务端名称可能为GrayPigeon.exe, GrayPigeon.bat, GrayPigeon.com, Winlogo.EXE, Windows.EXE,RAVMOND.EXE, SP00LSV.EXE, SVCH0ST.EXE

向注册表添加键值，随系统启动：

如果是 NT 系统，将向如下 3 个启动项中添加键值：

HKEY_LOCAL_MACHINE\\\\SOFTWARE\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Run

HKEY_LOCAL_MACHINE\\\\SOFTWARE\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\RunServices

HKEY_CURRENT_USER\\\\Software\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Run

如果是 win9x 系统，将向 win.ini 中添加键值。

在随机端口开设后门，等待攻击者远程连接。

你可以去下个最新的MCAFEE来杀掉它，MCAFEE是灰鸽子的克星！

手动修改

1.若是98/me,重启进安全模式，若是2000/xp,用任务管理器结束Svch0st.exe进程（看清与系统进程svchost.exe名称上的区别，可别弄错了啊）。

2.运行杀毒软件进行全面扫描

3.删除以下键值：

1）

HKEY_LOCAL_MACHINE\\\\SOFTWARE\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Run

HKEY_LOCAL_MACHINE\\\\SOFTWARE\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\RunServices

HKEY_CURRENT_USER\\\\Software\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Run

下的

\\"svchost\\"=\\"%System%\\\\Svch0st.exe\\"

\\"winlogon\\"=\\"%System%\\\\Winlogon.exe\\"

\\"system\\"=\\"%System%\\\\Explorer.exe\\"

2）（对于Windows NT/2000/XP）

HKEY_CURRENT_USER\\\\Software\\\\Microsoft\\\\Windows NT\\\\CurrentVersion\\\\Windows

下的

\\"run\\"=\\"%system%\\\\svch0st.EXE\\"

对于Windows NT/2000/XP，至此一切OK！

4.（对于Windows98/Me）

1）（仅对于Me）

删除C:\\\\Windows\\\\Recent folder文件夹下的Win.ini文件

2）开始－运行，edit c:\\\\windows\\\\win.ini，

在[windows]区域中，找到类似

run=C:\\\\WINDOWS\\\\SYSTEM\\\\SVCH0ST.EXE 的一项，删除之，保存退出。

呵呵~~~~~~~~问题解决了吗？