Backdoor.GrayBird.ad( 灰鸽子 ) 分析

病毒标签：
病毒名称： Backdoor.GrayBird.ad
中文名称： 灰鸽子

危害等级： 高
文件长度： 382 KB
感染系统： Windows9x以上的所有版本
编写语言： Delphi 6 加壳类型： TeLock


Backdoor.GrayBird.ad （ 灰鸽子）服务端 运行后会打开后门端口，等待攻击者的远程控制。如果服务端 采用自动上线配置，通过生成服务端时设定的 URL ，主动连接到远程攻击者接受控制，因为其利用 “ 反弹端口原理 ” ，所以可穿过某些防火墙。
攻击者连接成功后便可 监控服务端屏幕，截获 oicq,icq, 及网络游戏，邮箱，上网账号等敏感信息，并且具有读写文件，修改注册表功能， 同时还可在服务端开启 Socks5 及 FTP 服务，是一种危险性较高的 木 马。
行为分析：
1、拷贝服务端到系统，路径可能为 %System%, %Windows%, %temp% ，服务端名称可能为 GrayPigeon.exe, GrayPigeon.bat, GrayPigeon.com, Winlogo.EXE, Windows.EXE,RAVMOND.EXE, SP00LSV.EXE, SVCH0ST.EXE

2、向注册表添加键值，随系统启动： 如果是 NT 系统，将向如下 3 个启动项中添加键值： HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun 如果是 win9x 系统，将向 win.ini 中添加键值。

3、在随机端口开设后门，等待攻击者远程连接。