什么是灰鸽子木马?

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了什么是灰鸽子木马?相关的知识,希望对你有一定的参考价值。

这个病毒具有“帕虫”或称“AV终结者”的某些特征,试图终止正在运行的杀毒软件进程,映像劫持大多数的杀毒软件、防火墙及手工杀毒的安全工具,在系统盘外的其它盘生成autotun.inf及安装文件。
同时,该病毒下载如下木马和广告软件——
Trojan.Win32.Agent.pow
Adware.Win32.CPush.g
Adware.Win32.CPush.e
Adware.Win32.Dodolook.b
Adware.Win32.Agent.num

该木马群成功感染后所有杀毒软件被禁止或劫持,桌面(或称Window Shell)explorer.exe被注入和劫持,某些情下安全模式被破坏。所以,完全清除对具有一定的难度,需要一点耐心、信心和电脑操作熟练度。

解决办法:
1、准备工具IceSword和SREng,下载地址:
System Repaire Engineer(SRE)
下载:http://www.kztechs.com/sreng/download.html
使用方法:http://www.kztechs.com/sreng/help2/
冰刃(IceSword)1.20
http://www.ttian.net/website/2005/0829/391.html

2、由于这两个工具被映像劫持了,将它们解压后,运行时先将可执行文件IceSword.exe和SREngPS.exe改为随便一个其它的名字,比如“1234.exe”运行。由于各盘被释放了autorun.inf,清理过程中注意不要双击或点右键打开任何盘。运行工具软件从开始菜单运行。

3、运行IceSword,在“文件”菜单点“设置”,勾“禁止进线程创建”,点“确认”,然后在进程列表中删除“eqrdrnr.exe”和“websrdu.exe”。然后再允许进线程创建。
在文件列表中,找到下列文件,并强制删除:
C:\Program Files\Common Files\Microsoft Shared\websrdu.exe
C:\Program Files\Common Files\System\eqrdrnr.exe
d:\autorun.inf
e:\autorun.inf
f:\autorun.inf
d:\txwslhg.exe
e:\txwslhg.exe
f:\txwslhg.exe

3、运行SREng,在“系统修复/高级”中,修复安全模式;在“启动项目/注册表”中,删除所有红色的IFEO项目,删除“eqrdrnr.exe”和“websrdu.exe”的启动项目。

4、参照Trojan.Win32.Agent.pow的处理办法删除对explorer.exe的注入(结束explore.exe进程,删除那些注入的文件,然后重启explore.exe):
http://hi.baidu.com/sanluxia/blog/item/977959f7e7f93720730eec6d.html

5、现在杀毒软件应该可以运行了,启动运行并升级。然后重新启动,到安全模式,用你的杀毒软件扫描全部硬盘。

补充说明:
由于木马群的相互作用,以及杀毒软件可能在其中做了部分清除工作,各中毒机器的具体情况可能与上述情况并不完全一样。网友们可以将上述解决办法作为一个解决问题的思路参考。

关于“AV终结者”或“帕虫”的详细资料,参见如下:

http://forum.ikaka.com/topic.asp?board=28&artid=8322881
http://hi.baidu.com/newcenturysun/blog/item/2ad3d7cedcea3c0292457e2c.html
http://forum.ikaka.com/topic.asp?board=28&artid=8315857

Author: Sanluxia
Aug. 10, 2007
Blog: http://hi.baidu.com/sanluxia/blog
This document is written by Sanluxia, all rights reserved. You may copy it to other place, but you must reserve this copyright information.

参考资料:转载http://zhidao.baidu.com/question/34280413.html
参考技术A 灰鸽子是国内一款著名后门。比起前辈冰河、黑洞来,灰鸽子可以说是国内后门的集大成者。其丰富而强大的功能、灵活多变的操作、良好的隐藏性使其他后门都相形见绌。客户端简易便捷的操作使刚入门的初学者都能充当黑客。当使用在合法情况下时,灰鸽子是一款优秀的远程控制软件。但如果拿它做一些非法的事,灰鸽子就成了很强大的黑客工具。这就好比火药,用在不同的场合,给人类带来不同的影响。对灰鸽子完整的介绍也许只有灰鸽子作者本人能够说清楚,在此我们只能进行简要介绍。
灰鸽子客户端和服务端都是采用Delphi编写。黑客利用客户端程序配置出服务端程序。可配置的信息主要包括上线类型(如等待连接还是主动连接)、主动连接时使用的公网IP(域名)、连接密码、使用的端口、启动项名称、服务名称,进程隐藏方式,使用的壳,代理,图标等等。
服务端对客户端连接方式有多种,使得处于各种网络环境的用户都可能中毒,包括局域网用户(通过代理上网)、公网用户和ADSL拨号用户等。
参考技术B 纠正一个问题,灰鸽子不是木马,没有灰鸽子木马这种东西。灰鸽子是一种后门,如果不小心中了灰鸽子的话,病毒制作者可以远程连接你的电脑,侵犯隐私。而木马一般都是用来盗号的。 参考技术C 灰鸽子是一种远程控制软件

如果你中了木马就会被别人控制。。
他可以随时上你的电脑 动你的东西本回答被提问者采纳
参考技术D 继续补充一下,木马和后门是同一类的

以上是关于什么是灰鸽子木马?的主要内容,如果未能解决你的问题,请参考以下文章

体验VIP版本灰鸽子,哈哈,拿到了老师的病毒教程

什么是hook病毒有没有专杀工具?

win32是啥

灰鸽子是啥病毒?

用灰鸽子工具被杀毒软件报毒是啥意思,那些病毒有害吗?

老师叫我学win32,我想请问下win32是啥东西