backdoor.graybird.k是一种什么病毒，怎么才能不被查杀？有什么好办法吗？

后门。GrayBird.ad(灰鸽子)服务器运行后会打开后门端口，等待攻击者远程控制。如果服务器采用自动在线配置，它可以通过生成服务器时设置的URL主动连接远程攻击者接受控制，因为它采用的是“反弹端口原理”，所以可以穿过一些防火墙。

成功连接后，攻击者可以监控服务器屏幕，拦截oicq、icq，以及网络游戏、电子邮件、在线账号等敏感信息。，并具有读写文件、修改注册表的功能，同时可以在服务器上打开Socks5和FTP服务。这是一匹高风险的特洛伊马。

行为描述:

将服务器复制到系统中，路径可以是%System%、%Windows%、%temp%，服务器名可以是graypigeon.bat、graypigeon.bat、graypigeon.bat、Winlogo.EXE、Windows.exe、Raymond.exe、SP00LSV.EXE和SVCH0ST.EXE。

将键值添加到注册表中，当系统启动时:

如果是NT系统，键值将被添加到以下三个启动项目中:

HKEY _ LOCAL _ MACHINE \ \ SOFTWARE \ \ Microsoft \ \ Windows \ \当前版本\ \运行

HKEY _ LOCAL _ MACHINE \ \ SOFTWARE \ \ Microsoft \ \ Windows \ \ current version \ \ RunServices

HKEY _当前_用户\ \软件\ \微软\ \视窗\ \当前版本\ \运行

如果是win9x系统，键值会添加到win.ini中。

在随机端口打开一个后门，等待攻击者远程连接。

你可以去下一个最新的迈克菲杀了它，迈克菲是灰鸽的克星！

手动修改:

1.如果是98/me，重启进入安全模式；如果是2000/xp，用任务管理器结束Svch0st.exe进程。

2.运行杀毒软件进行全面扫描。

3.删除以下关键值:

1)

HKEY _ LOCAL _ MACHINE \ \ SOFTWARE \ \ Microsoft \ \ Windows \ \当前版本\ \运行

HKEY _ LOCAL _ MACHINE \ \ SOFTWARE \ \ Microsoft \ \ Windows \ \ current version \ \ RunServices

HKEY _当前_用户\ \软件\ \微软\ \视窗\ \当前版本\ \运行

下级的

\ " svchost \ " = \ " % System % \ \ svch 0 ST . exe \ "

\ " winlogon \ " = \ " % System % \ \ winlogon . exe \ "

\ " System \ " = \ " % System % \ \ explorer . exe \ "

2)(适用于Windows NT/2000/XP)

HKEY _当前_用户\ \软件\ \微软\ \视窗NT \ \当前版本\ \视窗

下级的

\"run\"=\"%system%\\svch0st。EXE\ "

对于Windows NT/2000/XP，到目前为止一切正常！

4.(适用于Windows98/Me)

1)(仅适用于我)

删除C:\\Windows\\Recent文件夹中的Win.ini文件。

2)开始-运行，编辑c:\\windows\\win.ini，

在[windows]区域，找到类似于

run = c:\ \ Windows \ \ System \ \ svch0st.exe，删除它，保存并退出。

此时一切正常。