解析:
近來“灰鴿子病毒”傳播的甚是厲害,5Q上有不少人以發布卡巴斯基殺毒軟件為名,在其中暗藏病毒,尤其以自解壓包的文件最為危險,其病毒程序在自解壓後能夠自動運行,並在生成木馬程序後自動刪除源文件!而灰鴿子病毒的作者至今還沒有停止對灰鴿子的開發,再加上有部分人為了避開殺毒軟件的查殺故意給灰鴿子加上各種不同的殼,造成現在網絡上不斷有新的灰鴿子變種出現。現在即使是最新版本的殺毒軟件也未必可以完全進行查殺,可能在正常殺毒下顯示已完全清除,但可能在妳重新啟動後,木馬程序再次生成!!!在這裏結合本人的實際經驗給出壹個“灰鴿子病毒”手動清除的辦法!
灰鴿子的運行原理
灰鴿子木馬分兩部分:客戶端和服務端。黑客(姑且這麽稱呼吧)操縱著客戶端,利用客戶端配置生成壹個服務端程序。服務端文件的名字默認為G_Server.exe,然後黑客通過各種渠道傳播這個木馬(俗稱種木馬或者開後門)。種木馬的手段有很多,比如,黑客可以將它與壹張圖片綁定,然後假冒成壹個羞澀的MM通過QQ把木馬傳給妳,誘騙妳運行;也可以建立壹個個人網頁,誘騙妳點擊,利用IE漏洞把木馬下載到妳的機器上並運行;還可以將文件上傳到某個軟件下載站點,冒充成壹個有趣的軟件誘騙用戶下載……
由於灰鴿子病毒變種繁多,其文件名也很多變,近來發現的以(Backdoor.GPigeon.sgr)類型居多,不易對付,在被感染的系統%Windows%目錄下生成三個病毒文件,分別是 G_Server.exe,G_Server.dll,G_Server_Hook.dll。
G_Server.exe運行後將自己拷貝到Windows目錄下(98/xp下為系統盤的windows目錄,2k/NT下為系統盤的Winnt目錄),然後再從體內釋放G_Server.dll和G_Server_Hook.dll到windows目錄下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三個文件相互配合組成了灰鴿子服務端,有些灰鴿子會多釋放出壹個名為G_ServerKey.dll的文件用來記錄鍵盤操作。
同時註意,G_Server.exe這個名稱並不固定,它是可以定制的,比如當定制服務端文件名為A.exe時,生成的文件就是A.exe、A.dll和A_Hook.dll。
Windows目錄下的G_Server.exe文件將自己註冊成服務(9X系統寫註冊表啟動項),每次開機都能自動運行,運行後啟動G_Server.dll和G_Server_Hook.dll並自動退出。G_Server.dll文件實現後門功能,與控制端客戶端進行通信;G_Server_Hook.dll則通過攔截API調用來隱藏病毒。因此,中毒後,我們看不到病毒文件,也看不到病毒註冊的服務項。隨著灰鴿子服務端文件的設置不同,G_Server_Hook.dll有時候附在Explorer.exe的進程空間中,有時候則是附在所有進程中。
灰鴿子病毒其特點是“三個隱藏”——隱藏進程、隱藏服務、隱藏病毒文件
灰鴿子的手工檢測
由於灰鴿子攔截了API調用,在正常模式下木馬程序文件和它註冊的服務項均被隱藏,也就是說妳即使設置了“顯示所有隱藏文件”也看不到它們。此外,灰鴿子服務端的文件名也是可以自定義的,這都給手工檢測帶來了壹定的困難。
但是,通過仔細觀察我們發現,對於灰鴿子的檢測仍然是有規律可循的。從上面的運行原理分析可以看出,無論自定義的服務器端文件名是什麽,壹般都會在操作系統的安裝目錄下生成壹個以“_hook.dll”結尾的文件。通過這壹點,我們可以較為準確手工檢測出灰鴿子木馬。
由於正常模式下灰鴿子會隱藏自身,因此檢測灰鴿子的操作壹定要在安全模式下進行。進入安全模式的方法是:啟動計算機,在系統進入Windows啟動畫面前,按下F8鍵,在出現的啟動選項菜單中,選擇“安全模式”。
1、由於灰鴿子的文件本身具有隱藏屬性,因此要設置Windows顯示所有文件。打開“我的電腦”,選擇菜單“工具”—》“文件夾選項”,點擊“查看”,取消“隱藏受保護的操作系統文件”前的對勾,並在“隱藏文件和文件夾”項中選擇“顯示所有文件和文件夾”,然後點擊“確定”。
2、打開Windows的“搜索文件”,文件名稱輸入“*_hook.dll”,搜索位置選擇Windows的安裝目錄(默認98/xp為C:\\windows,2k/NT為C:\\Winnt)。
3、經過搜索,在Windows目錄(不包含子目錄)下發現了壹個名為G_Server_Hook.dll的文件。
4、根據灰鴿子原理分析我們知道,G_Server_Hook.dll是灰鴿子的文件,則在操作系統安裝目錄下還會有G_Server.exe和G_Server.dll文件。打開Windows目錄,果然有這兩個文件,同時還有壹個用於記錄鍵盤操作的G_ServerKey.dll文件。
[以上的我試過,但唔知系米我唔識操作,所以根本我都揾唔到,後黎我下咗個WINDOWS木馬清道夫,掃描硬盤,咁就揾到曬所有嘅木馬文件]
經過這幾步操作基本就可以確定這些文件是灰鴿子木馬了,下面就可以進行手動清除。灰鴿子的手工清除
經過上面的分析,清除灰鴿子就很容易了。清除灰鴿子仍然要在安全模式下操作,主要有兩步:1、清除灰鴿子的服務;2刪除灰鴿子程序文件。
註意:此操作需在安全模式下進行,為防止誤操作,清除前壹定要做好備份。
壹、清除灰鴿子的服務
2000/XP系統:
1、打開註冊表編輯器(點擊“開始”-》“運行”,輸入“Regedit.exe”,確定。),打開 HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services 註冊表項。
2、點擊菜單“編輯”-》“查找”,“查找目標”輸入“G_server.exe”,點擊確定,我們就可以找到灰鴿子的服務項.
3、刪除整個G_server.exe鍵值所在的服務項。
[呢個都系,可能真系我唔識操作,所以根本就都揾唔到,於是我用咗壹個低B嘅方法,就系照住清道夫搜出黎嘅文件名來查找,竟然俾我揾到.呵呵~~`揾唔到果D即系無註冊項,所以直接入去文件刪除就得了]
98/me系統:
在9X下,灰鴿子啟動項只有壹個,因此清除更為簡單。運行註冊表編輯器,打開HKEY_CURRENT_USER\\Sofare\\Microsoft\\Windows\\CurrentVersion\\Run項,立即可以看到名為G_server.exe的壹項,將G_server.exe項刪除即可。
二、刪除灰鴿子程序文件
刪除灰鴿子程序文件非常簡單,只需要在安全模式下刪除Windows目錄下的G_server.exe、G_server.dll、G_server_Hook.dll以及G_serverkey.dll文件,然後重新啟動計算機。至此,灰鴿子已經被清除幹凈。
附:
其實現在大部分的殺毒軟件還是可以幫助查殺灰鴿子病毒的,本人使用的是瑞星殺毒軟件並已經更新至最新版本,在正常模式下,瑞星查殺了除G_server.exe文件外的所有文件,其實本人並沒有指望瑞星能夠全部查殺,但瑞星實際上給我幫了壹個大忙,就是幫我確定了所中灰鴿子病毒的類型,我在使用瑞星查殺時查殺了G_server.dll、G_server_Hook.dll和G_serverkey.dll這三個文件以及由前兩個文件釋放的附在其他進程下的文件,這就讓我確定了剩下的那個文件必然是G_server.exe,於是重新啟動計算機進入安全模式,首先要設置Windows顯示所有文件。打開“我的電腦”,選擇菜單“工具”—》“文件夾選項”,點擊“查看”,取消“隱藏受保護的操作系統文件”前的對勾,並在“隱藏文件和文件夾”項中選擇“顯示所有文件和文件夾”,然後點擊“確定”。然後打開Windows的“搜索文件”,因為確定病毒文件為G_server.exe,但同時出於保險起見,在搜索中輸入G_server*.*進行搜索,並選擇所有分區,在C:\\windows目錄下發現了G_server.exe,但令我驚訝的是竟然在D盤發現了這個文件的副本,其屬性同樣的隱藏的,所以建議大家在搜索時搜索所有分區,然後刪除即可!
另外還需進入註冊表刪除服務鍵值項,本人利用註冊表的查找功能搜索G_server,查找到了灰鴿子病毒的服務鍵值項,並發現其中由壹個鍵值赫然寫著".....灰鴿子.....",這令本人憤恨不已,於是刪除整個服務鍵值項.至此,灰鴿子病毒清除完畢,本人重新啟動電腦,又開始了自己的工作,並結合網上的壹些相關資料為大家寫下了這篇文章,希望對大家有幫助!!