灰鸽子病毒特征介绍与查杀

灰鸽子病毒特征介绍与查杀 灰鸽子病毒特征介绍与查杀 灰鸽子(Backdoor.Huigezi，backdoor.graybird，backdoor.gpigeon)是国内一款著名后门。比起前辈冰河、黑洞来，灰鸽子可以说是诤竺诺募蟪烧摺,浞岣欢看蟮墓δ堋?榛疃啾涞牟僮鳌?己玫囊匦允蛊渌竺哦枷嘈渭,突Ф思蛞妆憬莸牟僮魇垢杖朊诺某跹д叨寄艹涞焙诳汀,笔褂迷诤戏ㄇ榭鱿率保腋胱邮且豢钣判愕脑冻炭刂迫砑,绻盟鲆恍?欠ǖ氖拢腋胱泳统闪撕芮看蟮暮诳凸ぞ摺,饩秃帽然鹨迷诓煌某『希死啻床煌挠跋臁,曰腋胱油暾慕樯芤残碇挥谢腋胱幼髡弑救四芄凰登宄诖宋颐侵荒芙屑蛞樯堋;腋胱涌突Ф撕头穸硕际遣捎?Delphi 编写。黑客利用客户端程序配置出服务端程序。可配置的信息主要包括上线类型(如等待连接还是主动连接)、主动连接时使用的公网 IP(域名)、连接密码、使用的端口、启动项名称、服务名称，进程隐藏方式，使用的壳，代理，图标等等。 如果您的机器出现灰鸽子症状但用杀毒软件查不到，那很可能是中了还没有被截获的新变种。这个时候，就需要手工杀掉灰鸽子。 “灰鸽子病毒”传播的甚是厉害，5Q 上有不少人以发布卡巴斯基杀毒软件为名，在其中暗藏病毒，尤其以自解压包的文件最为危险，其病毒程序在自解压后能够自动运行，并在生成木马程序后自动删除源文件～灰鸽子病毒其特点是:“三个隐藏”——隐藏进程、隐藏服务、隐藏病毒文件灰鸽子的手工检测由于灰鸽子拦截了 API 调用，在正常模式下木马程序文件和它注册的服务项均被隐藏，也就是说你即使设置了“显示所有隐藏文件”也看不到它们。此外，灰鸽子服务端的文件名也是可以自定义的，这都给手工检测带来了一定的困难。 由于正常模式下灰鸽子会隐藏自身，因此检测灰鸽子的操作一定要在安全模式下进行。进入安全模式的方法是:启动计算机，在系统进入 Windows 启动画面前，按下 F8 键，在出现的启动选项菜单中，选择“安全模式”。1、由于灰鸽子的文件本身具有隐藏属性，因此要设置 Windows 显示所有文件。打开“我的电脑”，选择 “文件夹选项”菜单“工具”—》 ，点击“查看”，取消“隐藏受保护的操作系统文件”前的对勾，并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”，然后点击“确定”。2、打开 Windows 的“搜索文件”，文件名称输入“_hook.dll”，搜索位置选择 Windows 的安装目录(默认 98/xp 为 C:windows，2k/NT 为 C:Winnt)。3、经过搜索，在 Windows 目录(不包含子目录)下发现了一个名为 G_Server_Hook.dll 的文件。4、根据灰鸽子原理分析我们知道，G_Server_Hook.dll 是灰鸽子的文件，则在操作系统安装目录下还会有 G_Server.exe 和 G_Server.dll 文件。打开 Windows 目录，果然有这两个文件，同时还有一个用于记录键盘操作的 G_ServerKey.dll 文件。以上的我试过但唔知系米我唔识操作所以根本我都揾唔到后黎我下咗个 WINDOWS 木马清道夫扫描硬盘咁就揾到晒所有嘅木马文件经过这几步操作基本就可以确定这些文件是灰鸽子木马了，下面就可以进行手动清除。灰鸽子的手工清除经过上面的分析，清除灰鸽子就很容易了。清除灰鸽子仍然要在安全模式下操作，主要有两步:1、清除灰鸽子的服务;2 删除灰鸽子程序文件。注意:此操作需在安全模式下进行，为防止误操作，清除前一定要做好备份。一、清除灰鸽子的服务2000,XP 系统:1 、 打 开 注 册 编 辑 器 ( 点 击 “ 开 始 ” , ) 运 行 ” 输 入 “ Regedit.exe ” 确 定 。 ， 打 开 “ ， ， )HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices 注册表项。2、点击菜单“编辑”,》 ， “查找” “查找目标”输入“G_server.exe”，点击确定，我们就可以找到灰鸽子的服务项.3、删除整个 G_server.exe 键值所在的服务 项。呢个都系可能真系我唔识操作所以根本就都揾唔到于是我用咗一个低 B 嘅方法就系照住清道夫搜出黎嘅文件名来查找竟然俾我揾到.呵呵揾唔到果 D 即系无注册项所以直接入去文件删除就得了98,me 系统:在 9X 下 ， 灰 鸽 子 启 动 项 只 有 一 个 ， 因 此 清 除 更 为 简 单 。 运 行 注 册 表 编 辑 器 ， 打 开HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun 项，立即可以看到名为 G_server.exe 的一项，将 G_server.exe 项删除即可。二、删除灰鸽子程序文件删 除 灰 鸽 子 程 序 文 件 非 常 简 单 ， 只 需 要 在安 全 模 式 下 删 除 Windows 目 录 下 的 G_server.exe 、G_server.dll、G_server_Hook.dll 以及 G_serverkey.dll 文件，然后重新启动计算机。至此，灰鸽子已经被清除干净。附: 其实现在大部分的杀毒软件还是可以帮助查杀灰鸽子病毒的，本人使用的是瑞星杀毒软件并已经更新至最新版本，在正常模式下，瑞星查杀了除 G_server.exe 文件外的所有文件，其实本人并没有指望瑞星能够全部查杀，但瑞星实际上给我帮了一个大忙，就是帮我确定了所中灰鸽子病毒的类型，我在使用瑞星查杀时查杀了 G_server.dll、G_server_Hook.dll 和 G_serverkey.dll 这三个文件以及由前两个文件释放的附在其他进程下的文件，这就让我确定了剩下的那个文件必然是 G_server.exe，于是重新启动计算机进入安全模式，首先要设置 Windows 显示所有文件。打开“我的电脑”，选择菜单“工具”—》“文件夹选项”，点击“查看”，取消“隐藏受保护的操作系统文件”前的对勾，并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”，然后点击“确定”。然后打开 Windows 的“搜索文件” ，因为确定病毒文件为 G_server.exe，但同时出于保险起见，在搜索中输入 G_server.进行搜索并选择所有分区在C:windows 目录下发现了 G_server.exe但令我惊讶的是竟然在 D 盘发现了这个文件的副本其属性同样的隐藏的所以建议大家在搜索时搜索所有分区然后删除即可 另外还需进入注册表删除服务键值项本人利用注册表的查找功能搜索 G_server查找到了灰鸽子病毒的服务键值项并发现其中由一个键值赫然写着.....灰鸽子.....这令本人愤恨不已于是删除整个服务键值项。