作者:不是小号的人
本文出处:青岛之家(www.qdlover.com)转载请保留出处,谢谢
今天跑去看伴侣设置 结果不小心中到了灰鸽子这个木马
为了避免更多朋友受害 特别在杀了鸽子以后 又跑去中了一次
经过证实就是这个网站:
w w w . t t b l . com .cn 听说是伴侣的一个代理。
此病毒 绑定在网页上 一点开网页就中
如果你开了木马克星等就会马上报警
中了此类病毒 计算机有如此反映 打开网页速度慢(病毒正下载到你机器里能不慢吗)
屏幕可能会闪。最倒霉的就是我当时浏览的时候没开木马克星,等病毒发做 强行移动我鼠标 关我QQ时候 才知道大事不好 真歹毒关了我QQ马上就关系统 最后我的QQ被盗走
狠呀陪伴我4年的QQ 打电话去QQ客F 竟然得不到帮助。。
言归正传。。。。。。。
不得不佩服此病毒安装速度,感染后30秒就装好拉 并且在进程里没有显示的
用木马克星一扫:
c:\windows\g_server_hook.dll 怀疑为灰鸽子木马.
C:\WINDOWS\G_Server.exe 怀疑为灰鸽子木马.
C:\WINDOWS\G_Server.dll 怀疑为灰鸽子木马.
C:\WINDOWS\G_Server_hook.dll 怀疑为灰鸽子木马.
用专杀工具一杀:
检测到 灰鸽子 Vip 2005 0105 服务端存在!
检测到 灰鸽子 Vip 2005 隐藏模块存在!
隐藏的进程ID:200
安装文件名: G_Server.exe
主DLL文件名: G_Server.DLL
寻找到灰鸽子 VIP 2005 服务端...
找到灰鸽子 VIP 2005 服务端!
清除灰鸽子 VIP 2005 服务端完毕!
OK 到此病毒被杀。
下面贴个灰鸽子病毒知识介绍 呵呵转来的:
灰鸽子在你电脑上也就是服务端文件文件名为G_Server.exe(这是默认的,当然也可以改变)。然后黑客利用一切办法诱骗用户运行G_Server.exe程序。具体采用什么办法,读者可以充分发挥想象力,这里就不赘述。
G_Server.exe第一次运行时自己拷贝到Windows目录下(98/XP操作系统为系统盘windows目录,2K/NT为系统盘winnt目录),并将它注册为服务(服务名称在上面已经配置好了),然后从体内释放2个文件到Windows目录下:G_Server.dll,G_Server_Hook.dll(近期灰鸽子版本会释放3个文件,多了一个G_ServerKey.exe,主要用来记录键盘操作)。然后将G_Server.dll,G_Server_Hook.dll注入到Explorer.exe、IExplorer.exe或者所有进程中执行。然后G_Server.exe退出,两个动态库继续运行。由于病毒运行的时候没有独立进程,病毒隐藏性很好。以后每次开机时,Windows目录下的G_Server.exe都会自动运行,激活动态库后退出,以免引起用户怀疑。
G_Server.dll实现后门功能,与控制端进行通信。灰鸽子的强大功能主要体现在这里。黑客可以对中毒机器进行的操作包括:文件管理、获取系统信息、剪贴板查看、进程管理、窗口管理、键盘记录、服务管理、共享管理,提供MS-Dos shell,提供代理服务,注册表编辑,启动telnet服务,捕获屏幕,视频监控,音频监控,发送音频,卸载灰鸽子…… 可以说,用户在本地能看到的信息,使用灰鸽子远程监控也能看到。尤其是屏幕监控和视频、音频监控比较危险。如果用户在电脑上进行网上银行交易,则远程屏幕监控容易暴露用户的帐号,在加上键盘监控,用户的密码也岌岌可危。而视频和音频监控则容易暴露用户自身的秘密,如“相貌”,“声音”。
G_Server_Hook.dll负责隐藏灰鸽子。通过截获进程的API调用隐藏灰鸽子的文件、服务的注册表项,甚至是进程中的模块名。截获的函数主要是用来遍历文件、遍历注册表项和遍历进程模块的一些函数。所以,有些时候用户感觉种了毒,但仔细检查却又发现不了什么异常。
至于为什么贴这些东西上来呢。因为最近被灰鸽子盗号的人特别多
很多人被盗拉还不知道怎么回事情。
而且现在天堂特别流行这个盗号 很多在游戏里开小号喊这些网站叫大家去中毒
单纯的玩家们 请搽亮眼睛 点网页不下东西一样是可以中毒的
(因为很多人认为点网页中毒不可思议 特放上来给大家看 至于网页绑木马原理我就不说拉 好罗嗦的)
论坛原贴:
/bbs.php?threadid=355532 |
