G_Server.exe運行後將自身復制到windows目錄(98/xp下系統盤的windows目錄和2k/NT下系統盤的Winnt目錄),然後將G_Server.dll和G_Server_Hook.dll從主體釋放到Windows目錄。G_Server.exe、G_Server.dll和G_Server_Hook.dll相互配合,組成灰鴿服務器。有些灰鴿子會額外釋放壹個名為G_ServerKey.dll的文件來記錄鍵盤操作。
同時註意G_Server.exe這個名字並不是固定的,而是可以自定義的。例如,當定制服務器的文件名是A.exe時,生成的文件是A.exe、A.dll和a _ hook.dll..
Windows目錄下的G_Server.exe文件將自己註冊為服務(9X系統寫註冊表啟動項),每次開機都能自動運行。運行後啟動G_Server.dll和G_Server_Hook.dll並自動退出。G_Server.dll文件實現後門功能,與控制客戶端通信;G_Server_Hook.dll通過攔截API調用來隱藏病毒。所以中毒後,我們看不到病毒文件,也看不到病毒註冊的服務項目。隨著灰鴿子服務端文件的不同設置,G_Server_Hook.dll有時會附著在Explorer.exe的進程空間,有時會附著在所有進程上。
灰鴿病毒的特點是“三藏”——隱藏進程、隱藏服務、隱藏病毒文件。
灰鴿的人工檢測
因為灰鴿攔截了API調用,所以在正常模式下,特洛伊文件及其註冊的服務項是隱藏的,也就是說即使設置了“顯示所有隱藏文件”也是看不到的。另外,灰鴿服務器的文件名也可以自定義,給人工檢測帶來了壹定的困難。
但是通過仔細觀察,我們發現灰鴿子的檢測還是有規律的。從上面的運行原理分析可以看出,無論用戶自定義的服務器端文件名是什麽,都會在操作系統的安裝目錄下生成壹個以“_hook.dll”結尾的文件。通過這個,我們可以更準確地用手探測灰鴿子特洛伊。
因為灰鴿在正常模式下會隱藏自己,所以檢測灰鴿的操作必須在安全模式下進行。進入安全模式的方法是啟動電腦,在系統進入Windows啟動屏幕前按下F8,在出現的啟動選項菜單中選擇“安全模式”。
1.因為灰鴿的文件有隱藏屬性,所以要設置窗口顯示所有文件。打開我的電腦,選擇工具-文件夾選項,單擊查看,取消選中隱藏受保護的操作系統文件前的復選框,選擇隱藏文件和文件夾中的顯示所有文件和文件夾,然後單擊確定。
2.打開Windows的“搜索文件”,輸入“*_hook.dll”作為文件名,選擇Windows的安裝目錄作為搜索位置(默認98/xp為C:\\windows,2k/NT為C:\\Winnt)。
3.經過搜索,在Windows目錄下(不包括子目錄)找到了壹個名為G_Server_Hook.dll的文件。
4.根據灰鴿子原理分析,我們知道G_Server_Hook.dll是灰鴿子的文件,所以操作系統安裝目錄中會有G_Server.exe和G_Server.dll文件。打開Windows目錄,果然有這兩個文件,還有壹個記錄鍵盤操作的G_ServerKey.dll文件。
上面我也試過,但是不知道怎麽操作,所以根本找不到。在李之後,我下載了壹個WINDOWS的掃地機,掃描了壹下硬盤,就把的文件全部烘幹了。
經過這些步驟,基本可以確定這些文件是灰鴿木馬,下面可以手動刪除。人工清除灰鴿子
經過以上分析,灰鴿就很容易擺脫了。清除灰鴿仍然需要在安全模式下操作,主要包括兩個步驟:1,清除灰鴿服務;刪除灰鴿的程序文件。
註意:該操作需要在安全模式下進行。為防止誤操作,清洗前必須做好備份。
第壹,清除灰鴿子的服務
2000/XP系統:
1.打開註冊表編輯器(點擊“開始”-“運行”,輸入“Regedit.exe”並確認。),打開HKEY本地機器\ \系統\ \當前控制集\ \服務註冊表項。
2.點擊編輯-查找,在查找目標中輸入“G_server.exe”,點擊確定,找到灰鴿子的服務項目。
3.刪除G_server.exe整個鍵值所在的服務項。
【都是這麽回事,可能真的是因為不懂操作,根本找不到,所以用了壹個低B的方法,就是根據掃地機尋找李的文件名,居然找到了。呵呵~ `如果找不到果D,說明沒有報名項目,直接進去了。
98/me系統:
在9X下,灰鴿子只有壹個起始物品,所以移除比較容易。運行註冊表編輯器,打開HKEY _當前_用戶\ \軟件\ \微軟\ \ Windows \ \當前版本\ \運行,馬上可以看到壹個名為g _ server.exe的項目。刪了就好。
第二,刪除灰鴿子程序文件
刪除灰鴿的程序文件很簡單。只需在安全模式下刪除Windows目錄下的G_server.exe、G_server.dll、G_server_Hook.dll、G_serverkey.dll文件,然後重啟電腦即可。此時,灰色的鴿子已經被清理掉了。
附:
其實大部分殺毒軟件還是可以幫助查殺灰鴿病毒的。我用的是瑞星殺毒軟件,已經更新到最新版本。在正常模式下,瑞星已經殺死了除G_server.exe文件以外的所有文件。其實我也沒指望瑞星把他們都幹掉,但是瑞星其實幫了我大忙,就是幫我確定了灰鴿病毒的類型。我殺了三個文件,G_server.dll,G_server_Hook.dll和G_serverkey.dll,還有前兩個文件釋放的其他進程附帶的文件,這讓我確定剩下的文件壹定是G_server.exe,於是重啟電腦進入安全模式,先設置Windows顯示所有文件。打開我的電腦,選擇工具-文件夾選項,單擊查看,取消選中隱藏受保護的操作系統文件前的復選框,選擇隱藏文件和文件夾中的顯示所有文件和文件夾,然後單擊確定。然後打開Windows的“搜索文件”,因為病毒文件確定是G_server.exe,但同時為了保險起見,輸入G_server*。*在搜索中進行搜索,並選擇所有分區,並在C:\\windows目錄下找到G_server.exe,但令我驚訝的是,我在D盤上發現了這個文件的副本,其屬性也是隱藏的,所以建議大家。
此外,我需要進入註冊表刪除服務密鑰。我用註冊表的搜索功能搜索G_server,找到了灰鴿病毒的服務鍵值,發現其中壹個鍵值赫然寫著“...灰鴿子……”,這讓我很生氣,所以我刪除了整個服務密鑰。