灰鴿子(Backdoor.Huigezi)作者現在還沒有停止對灰鴿子的開發,再加上有些人為了避開殺毒軟件的查殺故意給灰鴿子加上各種不同的殼,造成現在網絡上不斷有新的灰鴿子變種出現。如果您的機器出現灰鴿子癥狀但用殺毒軟件查不到,那很可能是中了還沒有被截獲的新變種。這個時候,就需要手工殺掉灰鴿子。
手工清除灰鴿子並不難,重要的是我們必須懂得它的運行原理。
灰鴿子的運行原理
灰鴿子木馬分兩部分:客戶端和服務端。黑客(姑且這麽稱呼吧)操縱著客戶端,利用客戶端配置生成出壹個服務端程序。服務端文件的名字默認為G_Server.exe,然後黑客通過各種渠道傳播這個木馬(俗稱種木馬或者開後門)。種木馬的手段有很多,比如,黑客可以將它與壹張圖片綁定,然後假冒成壹個羞澀的MM通過QQ把木馬傳給妳,誘騙妳運行;也可以建立壹個個人網頁,誘騙妳點擊,利用IE漏洞把木馬下載到妳的機器上並運行;還可以將文件上傳到某個軟件下載站點,冒充成壹個有趣的軟件誘騙用戶下載……
G_Server.exe運行後將自己拷貝到Windows目錄下(98/xp下為系統盤的windows目錄,2k/NT下為系統盤的Winnt目錄),然後再從體內釋放G_Server.dll和G_Server_Hook.dll到windows目錄下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三個文件相互配合組成了灰鴿子服務端,有些灰鴿子會多釋放出壹個名為G_ServerKey.dll的文件用來記錄鍵盤操作。註意,G_Server.exe這個名稱並不固定,它是可以定制的,比如當定制服務端文件名為A.exe時,生成的文件就是A.exe、A.dll和A_Hook.dll。
Windows目錄下的G_Server.exe文件將自己註冊成服務(9X系統寫註冊表啟動項),每次開機都能自動運行,運行後啟動G_Server.dll和G_Server_Hook.dll並自動退出。G_Server.dll文件實現後門功能,與控制端客戶端進行通信;G_Server_Hook.dll則通過攔截API調用來隱藏病毒。因此,中毒後,我們看不到病毒文件,也看不到病毒註冊的服務項。隨著灰鴿子服務端文件的設置不同,G_Server_Hook.dll有時候附在Explorer.exe的進程空間中,有時候則是附在所有進程中。
灰鴿子的手工檢測
由於灰鴿子攔截了API調用,在正常模式下木馬程序文件和它註冊的服務項均被隱藏,也就是說妳即使設置了“顯示所有隱藏文件”也看不到它們。此外,灰鴿子服務端的文件名也是可以自定義的,這都給手工檢測帶來了壹定的困難。
但是,通過仔細觀察我們發現,對於灰鴿子的檢測仍然是有規律可循的。從上面的運行原理分析可以看出,無論自定義的服務器端文件名是什麽,壹般都會在操作系統的安裝目錄下生成壹個以“_hook.dll”結尾的文件。通過這壹點,我們可以較為準確手工檢測出灰鴿子木馬。
由於正常模式下灰鴿子會隱藏自身,因此檢測灰鴿子的操作壹定要在安全模式下進行。進入安全模式的方法是:啟動計算機,在系統進入Windows啟動畫面前,按下F8鍵(或者在啟動計算機時按住Ctrl鍵不放),在出現的啟動選項菜單中,選擇“Safe Mode”或“安全模式”。
1、由於灰鴿子的文件本身具有隱藏屬性,因此要設置Windows顯示所有文件。打開“我的電腦”,選擇菜單“工具”—》“文件夾選項”,點擊“查看”,取消“隱藏受保護的操作系統文件”前的對勾,並在“隱藏文件和文件夾”項中選擇“顯示所有文件和文件夾”,然後點擊“確定”。
2、打開Windows的“搜索文件”,文件名稱輸入“_hook.dll”,搜索位置選擇Windows的安裝目錄(默認98/xp為C:\windows,2k/NT為C:\Winnt)。
3、經過搜索,我們在Windows目錄(不包含子目錄)下發現了壹個名為Game_Hook.dll的文件。
4、根據灰鴿子原理分析我們知道,如果Game_Hook.DLL是灰鴿子的文件,則在操作系統安裝目錄下還會有Game.exe和Game.dll文件。打開Windows目錄,果然有這兩個文件,同時還有壹個用於記錄鍵盤操作的GameKey.dll文件。
經過這幾步操作我們基本就可以確定這些文件是灰鴿子木馬了,下面就可以進行手動清除。另外,如果妳發現了瑞星殺毒軟件查不到的灰鴿子變種,也歡迎登陸瑞星新病毒上報網站()上傳樣本。
灰鴿子的手工清除
經過上面的分析,清除灰鴿子就很容易了。清除灰鴿子仍然要在安全模式下操作,主要有兩步:1、清除灰鴿子的服務;2刪除灰鴿子程序文件。
註意:為防止誤操作,清除前壹定要做好備份。
壹、清除灰鴿子的服務
2000/XP系統:
1、打開註冊表編輯器(點擊“開始”-》“運行”,輸入“Regedit.exe”,確定。),打開 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services註冊表項。
2、點擊菜單“編輯”-》“查找”,“查找目標”輸入“game.exe”,點擊確定,我們就可以找到灰鴿子的服務項(此例為Game_Server)。
3、刪除整個Game_Server項。
98/me系統:
在9X下,灰鴿子啟動項只有壹個,因此清除更為簡單。運行註冊表編輯器,打開HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run項,我們立即看到名為Game.exe的壹項,將Game.exe項刪除即可。
二、刪除灰鴿子程序文件
刪除灰鴿子程序文件非常簡單,只需要在安全模式下刪除Windows目錄下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件,然後重新啟動計算機。至此,灰鴿子已經被清除幹凈。
小結
本文給出了壹個手工檢測和清除灰鴿子的通用方法,適用於我們看到的大部分灰鴿子木馬及其變種,然而仍有極少數變種采用此種方法無法檢測和清除。同時,隨著灰鴿子新版本的不斷推出,作者可能會加入壹些新的隱藏方法、防刪除手段,手工檢測和清除它的難度也會越來越大。當妳確定機器中了灰鴿子木馬而用本文所述的方法又檢測不到時,最好找有經驗的朋友幫忙解決。
特洛伊木馬完全解析
壹位客戶的PC出現了奇怪的癥狀,速度變慢,CD-ROM托盤毫無規律地進進出出,從來沒有見過的錯誤信息,屏幕圖像翻轉,等等。我切斷了他的Internet連接,然後按照對付惡意軟件的標準步驟執行檢查,終於找出了罪魁禍首:兩個遠程訪問特洛伊木馬——壹個是Cult of the Dead Cow臭名昭著的Back Orifice,還有壹個是不太常見的The Thing。在這次事件中,攻擊者似乎是個小孩,他只想搞些惡作劇,讓別人上不了網,或者交換壹些色情資料,但沒有什麽更危險的舉動。如果攻擊者有其他更危險的目標,那麽他可能已經從客戶的機器及其網絡上竊得許多機密資料了。
特洛伊木馬比任何其他惡意代碼都要危險,要保障安全,最好的辦法就是熟悉特洛伊木馬的類型、工作原理,掌握如何檢測和預防這些不懷好意的代碼。
壹、初識特洛伊木馬
特洛伊木馬是壹種惡意程序,它們悄悄地在宿主機器上運行,就在用戶毫無察覺的情況下,讓攻擊者獲得了遠程訪問和控制系統的權限。壹般而言,大多數特洛伊木馬都模仿壹些正規的遠程控制軟件的功能,如Symantec的pcAnywhere,但特洛伊木馬也有壹些明顯的特點,例如它的安裝和操作都是在隱蔽之中完成。攻擊者經常把特洛伊木馬隱藏在壹些遊戲或小軟件之中,誘使粗心的用戶在自己的機器上運行。最常見的情況是,上當的用戶要麽從不正規的網站下載和運行了帶惡意代碼的軟件,要麽不小心點擊了帶惡意代碼的郵件附件。
大多數特洛伊木馬包括客戶端和服務器端兩個部分。攻擊者利用壹種稱為綁定程序的工具將服務器部分綁定到某個合法軟件上,誘使用戶運行合法軟件。只要用戶壹運行軟件,特洛伊木馬的服務器部分就在用戶毫無知覺的情況下完成了安裝過程。通常,特洛伊木馬的服務器部分都是可以定制的,攻擊者可以定制的項目壹般包括:服務器運行的IP端口號,程序啟動時機,如何發出調用,如何隱身,是否加密。另外,攻擊者還可以設置登錄服務器的密碼、確定通信方式。
服務器向攻擊者通知的方式可能是發送壹個email,宣告自己當前已成功接管的機器;或者可能是聯系某個隱藏的Internet交流通道,廣播被侵占機器的IP地址;另外,當特洛伊木馬的服務器部分啟動之後,它還可以直接與攻擊者機器上運行的客戶程序通過預先定義的端口進行通信。不管特洛伊木馬的服務器和客戶程序如何建立聯系,有壹點是不變的,攻擊者總是利用客戶程序向服務器程序發送命令,達到操控用戶機器的目的。
特洛伊木馬攻擊者既可以隨心所欲地查看已被入侵的機器,也可以用廣播方式發布命令,指示所有在他控制之下的特洛伊木馬壹起行動,或者向更廣泛的範圍傳播,或者做其他危險的事情。實際上,只要用壹個預先定義好的關鍵詞,就可以讓所有被入侵的機器格式化自己的硬盤,或者向另壹臺主機發起攻擊。攻擊者經常會用特洛伊木馬侵占大量的機器,然後針對某壹要害主機發起分布式拒絕服務攻擊(Denial of Service,即DoS),當受害者覺察到網絡要被異乎尋常的通信量淹沒,試圖找出攻擊者時,他只能追蹤到大批懵然不知、同樣也是受害者的DSL或線纜調制解調器用戶,真正的攻擊者早就溜之大吉。
二、極度危險的惡意程序
對於大多數惡意程序,只要把它們刪除,危險就算過去,威脅也不再存在,但特洛伊木馬有些特殊。特洛伊木馬和病毒、蠕蟲之類的惡意程序壹樣,也會刪除或修改文件、格式化硬盤、上傳和下載文件、騷擾用戶、驅逐其他惡意程序,例如,經常可以看到攻擊者霸占被入侵機器來保存遊戲或攻擊工具,用戶所有的磁盤空間幾乎都被侵占殆盡,但除此之外,特洛伊木馬還有其獨壹無二的特點——竊取內容,遠程控制——這使得它們成為最危險的惡意軟件。
首先,特洛伊木馬具有捕獲每壹個用戶屏幕、每壹次鍵擊事件的能力,這意味著攻擊者能夠輕松地竊取用戶的密碼、目錄路徑、驅動器映射,甚至醫療記錄、銀行帳戶和信用卡、個人通信方面的信息。如果PC帶有壹個麥克風,特洛伊木馬能夠竊聽談話內容。如果PC帶有攝像頭,許多特洛伊木馬能夠把它打開,捕獲視頻內容——在惡意代碼的世界中,目前還沒有比特洛伊木馬更威脅用戶隱私的,凡是妳在PC前所說、所做的壹切,都有可能被記錄。
壹些特洛伊木馬帶有包嗅探器,它能夠捕獲和分析流經網卡的每壹個數據包。攻擊者可以利用特洛伊木馬竊取的信息設置後門,即使木馬後來被清除了,攻擊者仍可以利用以前留下的後門方便地闖入。
其次,如果壹個未經授權的用戶掌握了遠程控制宿主機器的能力,宿主機器就變成了強大的攻擊武器。遠程攻擊者不僅擁有了隨意操控PC本身資源的能力,而且還能夠冒充PC合法用戶,例如冒充合法用戶發送郵件、修改文檔,當然還可以利用被侵占的機器攻擊其他機器。二年前,壹個家庭用戶請我幫忙,要我幫他向交易機構證明他並沒有提交壹筆看來明顯虧損的股票交易。交易機構確實在該筆交易中記錄了他的PC的IP地址,而且在他的瀏覽器緩沖區中,我也找到了該筆有爭議的交易的痕跡。另外,我還找到了SubSeven(即Backdoor_G)特洛伊木馬的跡象。雖然沒有證據顯示出特洛伊木馬與這筆令他損失慘重的股票交易直接有關,但可以看出交易發生之時特洛伊木馬正處於活動狀態。
三、特洛伊木馬的類型
常見的特洛伊木馬,例如Back Orifice和SubSeven等,都是多用途的攻擊工具包,功能非常全面,包括捕獲屏幕、聲音、視頻內容的功能。這些特洛伊木馬可以當作鍵記錄器、遠程控制器、FTP服務器、HTTP服務器、Telnet服務器,還能夠尋找和竊取密碼。攻擊者可以配置特洛伊木馬監聽的端口、運行方式,以及木馬是否通過email、IRC或其他通信手段聯系發起攻擊的人。壹些危害大的特洛伊木馬還有壹定的反偵測能力,能夠采取各種方式隱藏自身,加密通信,甚至提供了專業級的API供其它攻擊者開發附加的功能。由於功能全面,所以這些特洛伊木馬的體積也往往較大,通常達到100 KB至300 KB,相對而言,要把它們安裝到用戶機器上而不引起任何人註意的難度也較大。
對於功能比較單壹的特洛伊木馬,攻擊者會力圖使它保持較小的體積,通常是10 KB到30 KB,以便快速激活而不引起註意。這些木馬通常作為鍵記錄器使用,它們把受害用戶的每壹個鍵擊事件記錄下來,保存到某個隱藏的文件,這樣攻擊者就可以下載文件分析用戶的操作了。還有壹些特洛伊木馬具有FTP、Web或聊天服務器的功能。通常,這些微型的木馬只用來竊取難以獲得的初始遠程控制能力,保障最初入侵行動的安全,以便在不太可能引起註意的適當時機上載和安裝壹個功能全面的大型特洛伊木馬。
隨便找壹個Internet搜索網站,搜索壹下關鍵詞Remote Access Trojan,很快就可以得到數百種特洛伊木馬——種類如此繁多,以至於大多數專門收集特洛伊木馬的Web網站不得不按照字母順序進行排列,每壹個字母下有數打甚至壹百多個木馬。下面我們就來看看兩種最流行的特洛伊木馬:Back Orifice和SubSeven。
■ Back Orifice
1998年,Cult of the Dead Cow開發了Back Orifice。這個程序很快在特洛伊木馬領域出盡風頭,它不僅有壹個可編程的API,還有許多其他新型的功能,令許多正規的遠程控制軟件也相形失色。Back Orifice 2000(即BO2K)按照GNU GPL(General Public License)發行,希望能夠吸引壹批正規用戶,以此與老牌的遠程控制軟件如pcAnywhere展開競爭。
但是,它默認的隱蔽操作模式和明顯帶有攻擊色彩的意圖使得許多用戶不太可能在短時間內接受。攻擊者可以利用BO2K的服務器配置工具可以配置許多服務器參數,包括TCP或UDP、端口號、加密類型、秘密激活(在Windows 9x機器上運行得較好,在Windows NT機器上則略遜壹籌)、密碼、插件等。
Back Orifice的許多特性給人以深刻的印象,例如鍵擊事件記錄、HTTP文件瀏覽、註冊表編輯、音頻和視頻捕獲、密碼竊取、TCP/IP端口重定向、消息發送、遠程重新啟動、遠程鎖定、數據包加密、文件壓縮,等等。Back Orifice帶有壹個軟件開發工具包(SDK),允許通過插件擴展其功能。
默認的bo_peep.dll插件允許攻擊者遠程控制機器的鍵盤和鼠標。就實際應用方面而言,Back Orifice對錯誤的輸入命令非常敏感,經驗不足的新手可能會使它頻繁地崩潰,不過到了經驗豐富的老手那裏,它又會變得馴服而又強悍。
■ SubSeven
SubSeven可能比Back Orifice還要受歡迎,這個特洛伊木馬壹直處於各大反病毒軟件廠商的感染統計榜前列。SubSeven可以作為鍵記錄器、包嗅探器使用,還具有端口重定向、註冊表修改、麥克風和攝像頭記錄的功能。圖二顯示了壹部分SubSeven的客戶端命令和服務器配置選項。
SubSeven具有許多令受害者難堪的功能:攻擊者可以遠程交換鼠標按鍵,關閉/打開Caps Lock、Num Lock和Scroll Lock,禁用Ctrl+Alt+Del組合鍵,註銷用戶,打開和關閉CD-ROM驅動器,關閉和打開監視器,翻轉屏幕顯示,關閉和重新啟動計算機,等等。
SubSeven利用ICQ、IRC、email甚至CGI腳本和攻擊發起人聯系,它能夠隨機地更改服務器端口,並向攻擊者通知端口的變化。另外,SubSeven還提供了專用的代碼來竊取AOL Instant Messenger(AIM)、ICQ、RAS和屏幕保護程序的密碼。
四、檢測和清除特洛伊木馬
如果壹個企業網絡曾經遭受病毒和Email蠕蟲的肆虐,那麽這個網絡很可能也是特洛伊木馬的首選攻擊目標。由於木馬會被綁定程序和攻擊者加密,因此對於常規的反病毒軟件來說,查找木馬要比查找蠕蟲和病毒困難得多。另壹方面,特洛伊木馬造成的損害卻可能遠遠高於普通的蠕蟲和病毒。因此,檢測和清除特洛伊木馬是系統管理員的首要任務。
要反擊惡意代碼,最佳的武器是最新的、成熟的病毒掃描工具。掃描工具能夠檢測出大多數特洛伊木馬,並盡可能地使清理過程自動化。許多管理員過分依賴某些專門針對特洛伊木馬的工具來檢測和清除木馬,但某些工具的效果令人懷疑,至少不值得完全信任。不過,Agnitum的Tauscan確實稱得上頂級的掃描軟件,過去幾年的成功已經證明了它的效果。
特洛伊木馬入侵的壹個明顯證據是受害機器上意外地打開了某個端口,特別地,如果這個端口正好是特洛伊木馬常用的端口,木馬入侵的證據就更加肯定了。壹旦發現有木馬入侵的證據,應當盡快切斷該機器的網絡連接,減少攻擊者探測和進壹步攻擊的機會。打開任務管理器,關閉所有連接到Internet的程序,例如Email程序、IM程序等,從系統托盤上關閉所有正在運行的程序。註意暫時不要啟動到安全模式,啟動到安全模式通常會阻止特洛伊木馬裝入內存,為檢測木馬帶來困難。
大多數操作系統,當然包括Windows,都帶有檢測IP網絡狀態的Netstat工具,它能夠顯示出本地機器上所有活動的監聽端口(包括UDP和TCP)。打開壹個命令行窗口,執行“Netstat -a”命令就可以顯示出本地機器上所有打開的IP端口,註意壹下是否存在意外打開的端口(當然,這要求對端口的概念和常用程序所用的端口有壹定的了解)。
顯示了壹次Netstat檢測的例子,檢測結果表明壹個Back Orifice使用的端口(即31337)已經被激活,木馬客戶程序使用的是遠程機器(ROGERLAP)上的1216端口。除了已知的木馬常用端口之外,另外還要特別留意未知的FTP服務器(端口21)和Web服務器(端口80)。
但是,Netstat命令有壹個缺點,它能夠顯示出哪些IP端口已經激活,但卻沒有顯示出哪些程序或文件激活了這些端口。要找出哪個執行文件創建了哪個網絡連接,必須使用端口枚舉工具,例如,Winternals Software的TCPView Professional Edition就是壹個優秀的端口枚舉工具。Tauscan除了能夠識別特洛伊木馬,也能夠建立程序與端口的聯系。另外,Windows XP的Netstat工具提供了壹個新的-o選項,能夠顯示出正在使用端口的程序或服務的進程標識符(PID),有了PID,用任務管理器就可以方便地根據PID找到對應的程序。
如果手頭沒有端口枚舉工具,無法快速找出幕後肇事者的真正身份,請按照下列步驟操作:尋找自動啟動的陌生程序,查找位置包括註冊表、.ini文件、啟動文件夾等。然後將機器重新啟動進入安全模式,可能的話,用Netstat命令確認壹下特洛伊木馬尚未裝入內存。接下來,分別運行各個前面找出的有疑問的程序,每次運行壹個,分別用Netstat命令檢查新打開的端口。如果某個程序初始化了壹個Internet連接,那就要特別小心了。深入研究壹下所有可疑的程序,刪除所有不能信任的軟件。
Netstat命令和端口枚舉工具非常適合於檢測壹臺機器,但如果要檢測的是整個網絡,又該怎麽辦?大多數入侵檢測系統(Intrusion Detection System,IDS)都具有在常規通信中捕獲常見特洛伊木馬數據包的能力。FTP和HTTP數據具有可識別的特殊數據結構,特洛伊木馬數據包也壹樣。只要正確配置和經常更新IDS,它甚至能夠可靠地檢測出經過加密處理的Back Orifice和SubSeven通信。請參見連接,然後按照對付惡意軟件的標準步驟執行檢查,終於找出了罪魁禍首:兩個遠程訪問特洛伊木馬——壹個是Cult of the Dead Cow臭名昭著的Back Orifice,還有壹個是不太常見的The Thing。在這次事件中,攻擊者似乎是個小孩,他只想搞些惡作劇,讓別人上不了網,或者交換壹些色情資料,但沒有什麽更危險的舉動。如果攻擊者有其他更危險的目標,那麽他可能已經從客戶的機器及其網絡上竊得許多機密資料了。
特洛伊木馬比任何其他惡意代碼都要危險,要保障安全,最好的辦法就是熟悉特洛伊木馬的類型、工作原理,掌握如何檢測和預防這些不懷好意的代碼。
壹、初識特洛伊木馬
特洛伊木馬是壹種惡意程序,它們悄悄地在宿主機器上運行,就在用戶毫無察覺的情況下,讓攻擊者獲得了遠程訪問和控制系統的權限。壹般而言,大多數特洛伊木馬都模仿壹些正規的遠程控制軟件的功能,如Symantec的pcAnywhere,但特洛伊木馬也有壹些明顯的特點,例如它的安裝和操作都是在隱蔽之中完成。攻擊者經常把特洛伊木馬隱藏在壹些遊戲或小軟件之中,誘使粗心的用戶在自己的機器上運行。最常見的情況是,上當的用戶要麽從不正規的網站下載和運行了帶惡意代碼的軟件,要麽不小心點擊了帶惡意代碼的郵件附件。
大多數特洛伊木馬包括客戶端和服務器端兩個部分。攻擊者利用壹種稱為綁定程序的工具將服務器部分綁定到某個合法軟件上,誘使用戶運行合法軟件