品尝鸽子肉的味道--对两只灰鸽子病毒的监视全过程
最近得到两只鸽子,便想烧烤之,一是为了品尝鸽子肉的味道,二是为了验收Tiny跟SSM这两款烧烤工具的成色。
总的来说,有点可惜,因为我得到的这两只鸽子味道并不很佳,可能我得到的都是作者丢弃的。一只它的隐藏做得相当不好,根本就不隐藏进程(用系统自带的任务管理器都可以看),只是在%SystemRoot%下释放G_Server2006.exe、G_Server2006.DLL、G_Server2006Key.DLL三个文件,并且在注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\下生成一个GrayPigeonServer服务项;不过另外一只就有点技术含量了:隐藏进程,只有IceSWord可以看到隐藏进程,连SSM都看不到(那就更不用说系统自带的任务管理器或超级兔子的超级兔子任务管理器SRTask),服务项也很能迷惑人的眼睛,最不错的就是它只生成一个服务端文件--G_Server2.03.exe,其他的Dll文件都没有。两个鸽子都会在感染的计算机,都要对一个192.168.10.217这个IP发出了SYN_SENT同步请求。具体情况如下面: