码迷,mamicode.com
首页 > 其他好文 > 详细

灰鸽子木马病毒分析

时间:2015-02-26 15:02:01      阅读:340      评论:0      收藏:0      [点我收藏+]

标签:

简介:

灰鸽子木马分为两部分:客户端和服务端。

黑客操控者客户端,利用客户端配置生成出一个服务端程序。服务端文件的名字默认为G_Server.exe,然后打开后门。开后门的手段有很多,比如,黑客可以将它与一张图片绑定,诱骗运行;也可以建立一个个人网页,诱骗点击,利用IE漏洞把木马下载到你的机器上并运行;还可以将文件上传到某个软件下载地点,诱骗用户下载。

 

运行过程:

G_Server.exe运行后将自己拷贝到Windows目录下(98/xp下为系统盘的windows目录,2k/NT下为系统盘的Winnt目录),然后再从体内释放G_Server.dllG_Server_Hook.dllwindows目录下。G_Server.exeG_Server.dllG_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端, G_Server_Hook.dll负责隐藏灰鸽子。通过截获进程的API调用隐藏灰鸽子的文件、服务的注册表项,甚至是进程中的模块名。截获的函数主要是用来遍历文件、遍历注册表项和遍历进程模块的一些函数。所以,有些时候用户感觉中了毒,但仔细检查却又发现不了什么异常。有些灰鸽子会多释放出一个名为G_ServerKey.dll的文件用来记录键盘操作。注意,G_Server.exe这个名称并不固定,它是可以定制的,比如当定制服务端文件名为A.exe时,生成的文件就是A.exeA.dllA_Hook.dll

Windows目录下的G_Server.exe文件将自己注册成服务(9X系统写注册表启动项),每次开机都能自动运行,运行后启动G_Server.dllG_Server_Hook.dll并自动退出。G_Server.dll文件实现后门功能,与控制端客户端进行通信;G_Server_Hook.dll则通过拦截API调用来隐藏病毒。因此,中毒后,我们看不到病毒文件,也看不到病毒注册的服务项。随着灰鸽子服务端文件的设置不同,G_Server_Hook.dll有时候附在Explorer.exe的进程空间中,有时候则是附在所有进程中。

 

灰鸽子木马病毒分析

标签:

原文地址:http://blog.csdn.net/linukey/article/details/43952235

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!