葛軍��,“灰鴿子工作室”的創(chuàng)辦者���,一個低調(diào)而又引人注目的程序員��。
(3)服務(wù)端:
配置出來的服務(wù)端文件文件名為G_Server.exe(這是默認的��,當(dāng)然也可以改變)����。然后黑客利用一切辦法誘騙用戶運行G_Server.exe程序�����。
G_Server.exe運行后將自己拷貝到Windows目錄下(98/xp下為系統(tǒng)盤的windows目錄����,2k/NT下為系統(tǒng)盤的Winnt目錄),然后再從體內(nèi)釋放G_Server.dll和G_Server_Hook.dll到windows目錄下��。G_Server.exe�����、G_Server.dll和G_Server_Hook.dll三個文件相互配合組成了灰鴿子服務(wù)端��, G_Server_Hook.dll負責(zé)隱藏灰鴿子���。通過截獲進程的API調(diào)用隱藏灰鴿子的文件�、服務(wù)的注冊表項���,甚至是進程中的模塊名�。截獲的函數(shù)主要是用來遍歷文件��、遍歷注冊表項和遍歷進程模塊的一些函數(shù)����。所以,有些時候用戶感覺中了毒���,但仔細檢查卻又發(fā)現(xiàn)不了什么異常�����。有些灰鴿子會多釋放出一個名為G_ServerKey.dll的文件用來記錄鍵盤操作���。注意����,G_Server.exe這個名稱并不固定��,它是可以定制的�,比如當(dāng)定制服務(wù)端文件名為A.exe時,生成的文件就是A.exe����、A.dll和A_Hook.dll。
Windows目錄下的G_Server.exe文件將自己注冊成服務(wù)(9X系統(tǒng)寫注冊表啟動項)��,每次開機都能自動運行����,運行后啟動G_Server.dll和G_Server_Hook.dll并自動退出。G_Server.dll文件實現(xiàn)后門功能����,與控制端客戶端進行通信;G_Server_Hook.dll則通過攔截API調(diào)用來隱藏病毒。因此�����,中毒后,我們看不到病毒文件��,也看不到病毒注冊的服務(wù)項�����。隨著灰鴿子服務(wù)端文件的設(shè)置不同����,G_Server_Hook.dll有時候附在Explorer.exe的進程空間中���,有時候則是附在所有進程中�����。
灰鴿子的作者對于如何逃過殺毒軟件的查殺花了很大力氣����。由于一些API函數(shù)被截獲���,正常模式下難以遍歷到灰鴿子的文件和模塊�,造成查殺上的困難��。要卸載灰鴿子動態(tài)庫而且保證系統(tǒng)進程不崩潰也很麻煩,因此造成了近期灰鴿子在互聯(lián)網(wǎng)上泛濫的局面����。
小編推薦閱讀
