灰鴿子的執行原理 灰鴿子木馬分兩部分:客戶端和服務端。駭客(姑且這麼稱呼吧)操縱著客戶端,利用客戶端配置生成一個服務端程式。服務端檔案的名字預設為G_Server.exe,然後駭客透過各種渠道傳播這個木馬(俗稱種木馬或者開後門)。種木馬的手段有很多,比如,駭客可以將它與一張圖片繫結,然後假冒成一個羞澀的MM透過QQ把木馬傳給你,誘騙你執行;也可以建立一個個人網頁,誘騙你點選,利用IE漏洞把木馬下載到你的機器上並執行;還可以將檔案上傳到某個軟體下載站點,冒充成一個有趣的軟體誘騙使用者下載…… 由於灰鴿子病毒變種繁多,其檔名也很多變,近來發現的以(Backdoor.GPigeon.sgr)型別居多,不易對付,在被感染的系統%Windows%目錄下生成三個病毒檔案,分別是 G_Server.exe,G_Server.dll,G_Server_Hook.dll。 G_Server.exe執行後將自己複製到Windows目錄下(98/xp下為系統盤的windows目錄,2k/NT下為系統盤的Winnt目錄),然後再從體內釋放G_Server.dll和G_Server_Hook.dll到windows目錄下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三個檔案相互配合組成了灰鴿子服務端,有些灰鴿子會多釋放出一個名為G_ServerKey.dll的檔案用來記錄鍵盤操作。 同時注意,G_Server.exe這個名稱並不固定,它是可以定製的,比如當定製服務端檔名為A.exe時,生成的檔案就是A.exe、A.dll和A_Hook.dll。 Windows目錄下的G_Server.exe檔案將自己註冊成服務(9X系統寫登錄檔啟動項),每次開機都能自動執行,執行後啟動G_Server.dll和G_Server_Hook.dll並自動退出。G_Server.dll檔案實現後門功能,與控制端客戶端進行通訊;G_Server_Hook.dll則透過攔截API呼叫來隱藏病毒。因此,中毒後,我們看不到病毒檔案,也看不到病毒註冊的服務項。隨著灰鴿子服務端檔案的設定不同,G_Server_Hook.dll有時候附在Explorer.exe的程序空間中,有時候則是附在所有程序中。 灰鴿子病毒其特點是“三個隱藏”——隱藏程序、隱藏服務、隱藏病毒檔案 灰鴿子的手工檢測 由於灰鴿子攔截了API呼叫,在正常模式下木馬程式檔案和它註冊的服務項均被隱藏,也就是說你即使設定了“顯示所有隱藏檔案”也看不到它們。此外,灰鴿子服務端的檔名也是可以自定義的,這都給手工檢測帶來了一定的困難。 但是,透過仔細觀察我們發現,對於灰鴿子的檢測仍然是有規律可循的。從上面的執行原理分析可以看出,無論自定義的伺服器端檔名是什麼,一般都會在作業系統的安裝目錄下生成一個以“_hook.dll”結尾的檔案。透過這一點,我們可以較為準確手工檢測出灰鴿子木馬。 由於正常模式下灰鴿子會隱藏自身,因此檢測灰鴿子的操作一定要在安全模式下進行。進入安全模式的方法是:啟動計算機,在系統進入Windows啟動畫面前,按下F8鍵,在出現的啟動選項選單中,選擇“安全模式”。 1、由於灰鴿子的檔案本身具有隱藏屬性,因此要設定Windows顯示所有檔案。開啟“我的電腦”,選擇選單“工具”—》“資料夾選項”,點選“檢視”,取消“隱藏受保護的作業系統檔案”前的對勾,並在“隱藏檔案和資料夾”項中選擇“顯示所有檔案和資料夾”,然後點選“確定”。 2、開啟Windows的“搜尋檔案”,檔名稱輸入“*_hook.dll”,搜尋位置選擇Windows的安裝目錄(預設98/xp為C:\\windows,2k/NT為C:\\Winnt)。 3、經過搜尋,在Windows目錄(不包含子目錄)下發現了一個名為G_Server_Hook.dll的檔案。 4、根據灰鴿子原理分析我們知道,G_Server_Hook.dll是灰鴿子的檔案,則在作業系統安裝目錄下還會有G_Server.exe和G_Server.dll檔案。開啟Windows目錄,果然有這兩個檔案,同時還有一個用於記錄鍵盤操作的G_ServerKey.dll檔案。 [以上的我試過,但唔知系米我唔識操作,所以根本我都搵唔到,後黎我下咗個WINDOWS木馬清道夫,掃描硬碟,咁就搵到曬所有嘅木馬檔案] 經過這幾步操作基本就可以確定這些檔案是灰鴿子木馬了,下面就可以進行手動清除。灰鴿子的手工清除 經過上面的分析,清除灰鴿子就很容易了。清除灰鴿子仍然要在安全模式下操作,主要有兩步:1、清除灰鴿子的服務;2刪除灰鴿子程式檔案。 注意:此操作需在安全模式下進行,為防止誤操作,清除前一定要做好備份。 一、清除灰鴿子的服務 2000/XP系統: 1、開啟登錄檔編輯器(點選“開始”-》“執行”,輸入“Regedit.exe”,確定。),開啟 HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services 登錄檔項。 2、點選選單“編輯”-》“查詢”,“查詢目標”輸入“G_server.exe”,點選確定,我們就可以找到灰鴿子的服務項. 3、刪除整個G_server.exe鍵值所在的服務項。 [呢個都系,可能真系我唔識操作,所以根本就都搵唔到,於是我用咗一個低B嘅方法,就係照住清道夫搜出黎嘅檔名來查詢,竟然俾我搵到.呵呵~~`搵唔到果D即系無註冊項,所以直接入去檔案刪除就得了] 98/me系統: 在9X下,灰鴿子啟動項只有一個,因此清除更為簡單。執行登錄檔編輯器,開啟HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run項,立即可以看到名為G_server.exe的一項,將G_server.exe項刪除即可。 二、刪除灰鴿子程式檔案 刪除灰鴿子程式檔案非常簡單,只需要在安全模式下刪除Windows目錄下的G_server.exe、G_server.dll、G_server_Hook.dll以及G_serverkey.dll檔案,然後重新啟動計算機。至此,灰鴿子已經被清除乾淨。 附: 其實現在大部分的防毒軟體還是可以幫助查殺灰鴿子病毒的,本人使用的是瑞星防毒軟體並已經更新至最新版本,在正常模式下,瑞星查殺了除G_server.exe檔案外的所有檔案,其實本人並沒有指望瑞星能夠全部查殺,但瑞星實際上給我幫了一個大忙,就是幫我確定了所中灰鴿子病毒的型別,我在使用瑞星查殺時查殺了G_server.dll、G_server_Hook.dll和G_serverkey.dll這三個檔案以及由前兩個檔案釋放的附在其他程序下的檔案,這就讓我確定了剩下的那個檔案必然是G_server.exe,於是重新啟動計算機進入安全模式,首先要設定Windows顯示所有檔案。開啟“我的電腦”,選擇選單“工具”—》“資料夾選項”,點選“檢視”,取消“隱藏受保護的作業系統檔案”前的對勾,並在“隱藏檔案和資料夾”項中選擇“顯示所有檔案和資料夾”,然後點選“確定”。然後開啟Windows的“搜尋檔案”,因為確定病毒檔案為G_server.exe,但同時出於保險起見,在搜尋中輸入G_server*.*進行搜尋,並選擇所有分割槽,在C:\\windows目錄下發現了G_server.exe,但令我驚訝的是竟然在D盤發現了這個檔案的副本,其屬性同樣的隱藏的,所以建議大家在搜尋時搜尋所有分割槽,然後刪除即可!
灰鴿子的執行原理 灰鴿子木馬分兩部分:客戶端和服務端。駭客(姑且這麼稱呼吧)操縱著客戶端,利用客戶端配置生成一個服務端程式。服務端檔案的名字預設為G_Server.exe,然後駭客透過各種渠道傳播這個木馬(俗稱種木馬或者開後門)。種木馬的手段有很多,比如,駭客可以將它與一張圖片繫結,然後假冒成一個羞澀的MM透過QQ把木馬傳給你,誘騙你執行;也可以建立一個個人網頁,誘騙你點選,利用IE漏洞把木馬下載到你的機器上並執行;還可以將檔案上傳到某個軟體下載站點,冒充成一個有趣的軟體誘騙使用者下載…… 由於灰鴿子病毒變種繁多,其檔名也很多變,近來發現的以(Backdoor.GPigeon.sgr)型別居多,不易對付,在被感染的系統%Windows%目錄下生成三個病毒檔案,分別是 G_Server.exe,G_Server.dll,G_Server_Hook.dll。 G_Server.exe執行後將自己複製到Windows目錄下(98/xp下為系統盤的windows目錄,2k/NT下為系統盤的Winnt目錄),然後再從體內釋放G_Server.dll和G_Server_Hook.dll到windows目錄下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三個檔案相互配合組成了灰鴿子服務端,有些灰鴿子會多釋放出一個名為G_ServerKey.dll的檔案用來記錄鍵盤操作。 同時注意,G_Server.exe這個名稱並不固定,它是可以定製的,比如當定製服務端檔名為A.exe時,生成的檔案就是A.exe、A.dll和A_Hook.dll。 Windows目錄下的G_Server.exe檔案將自己註冊成服務(9X系統寫登錄檔啟動項),每次開機都能自動執行,執行後啟動G_Server.dll和G_Server_Hook.dll並自動退出。G_Server.dll檔案實現後門功能,與控制端客戶端進行通訊;G_Server_Hook.dll則透過攔截API呼叫來隱藏病毒。因此,中毒後,我們看不到病毒檔案,也看不到病毒註冊的服務項。隨著灰鴿子服務端檔案的設定不同,G_Server_Hook.dll有時候附在Explorer.exe的程序空間中,有時候則是附在所有程序中。 灰鴿子病毒其特點是“三個隱藏”——隱藏程序、隱藏服務、隱藏病毒檔案 灰鴿子的手工檢測 由於灰鴿子攔截了API呼叫,在正常模式下木馬程式檔案和它註冊的服務項均被隱藏,也就是說你即使設定了“顯示所有隱藏檔案”也看不到它們。此外,灰鴿子服務端的檔名也是可以自定義的,這都給手工檢測帶來了一定的困難。 但是,透過仔細觀察我們發現,對於灰鴿子的檢測仍然是有規律可循的。從上面的執行原理分析可以看出,無論自定義的伺服器端檔名是什麼,一般都會在作業系統的安裝目錄下生成一個以“_hook.dll”結尾的檔案。透過這一點,我們可以較為準確手工檢測出灰鴿子木馬。 由於正常模式下灰鴿子會隱藏自身,因此檢測灰鴿子的操作一定要在安全模式下進行。進入安全模式的方法是:啟動計算機,在系統進入Windows啟動畫面前,按下F8鍵,在出現的啟動選項選單中,選擇“安全模式”。 1、由於灰鴿子的檔案本身具有隱藏屬性,因此要設定Windows顯示所有檔案。開啟“我的電腦”,選擇選單“工具”—》“資料夾選項”,點選“檢視”,取消“隱藏受保護的作業系統檔案”前的對勾,並在“隱藏檔案和資料夾”項中選擇“顯示所有檔案和資料夾”,然後點選“確定”。 2、開啟Windows的“搜尋檔案”,檔名稱輸入“*_hook.dll”,搜尋位置選擇Windows的安裝目錄(預設98/xp為C:\\windows,2k/NT為C:\\Winnt)。 3、經過搜尋,在Windows目錄(不包含子目錄)下發現了一個名為G_Server_Hook.dll的檔案。 4、根據灰鴿子原理分析我們知道,G_Server_Hook.dll是灰鴿子的檔案,則在作業系統安裝目錄下還會有G_Server.exe和G_Server.dll檔案。開啟Windows目錄,果然有這兩個檔案,同時還有一個用於記錄鍵盤操作的G_ServerKey.dll檔案。 [以上的我試過,但唔知系米我唔識操作,所以根本我都搵唔到,後黎我下咗個WINDOWS木馬清道夫,掃描硬碟,咁就搵到曬所有嘅木馬檔案] 經過這幾步操作基本就可以確定這些檔案是灰鴿子木馬了,下面就可以進行手動清除。灰鴿子的手工清除 經過上面的分析,清除灰鴿子就很容易了。清除灰鴿子仍然要在安全模式下操作,主要有兩步:1、清除灰鴿子的服務;2刪除灰鴿子程式檔案。 注意:此操作需在安全模式下進行,為防止誤操作,清除前一定要做好備份。 一、清除灰鴿子的服務 2000/XP系統: 1、開啟登錄檔編輯器(點選“開始”-》“執行”,輸入“Regedit.exe”,確定。),開啟 HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services 登錄檔項。 2、點選選單“編輯”-》“查詢”,“查詢目標”輸入“G_server.exe”,點選確定,我們就可以找到灰鴿子的服務項. 3、刪除整個G_server.exe鍵值所在的服務項。 [呢個都系,可能真系我唔識操作,所以根本就都搵唔到,於是我用咗一個低B嘅方法,就係照住清道夫搜出黎嘅檔名來查詢,竟然俾我搵到.呵呵~~`搵唔到果D即系無註冊項,所以直接入去檔案刪除就得了] 98/me系統: 在9X下,灰鴿子啟動項只有一個,因此清除更為簡單。執行登錄檔編輯器,開啟HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run項,立即可以看到名為G_server.exe的一項,將G_server.exe項刪除即可。 二、刪除灰鴿子程式檔案 刪除灰鴿子程式檔案非常簡單,只需要在安全模式下刪除Windows目錄下的G_server.exe、G_server.dll、G_server_Hook.dll以及G_serverkey.dll檔案,然後重新啟動計算機。至此,灰鴿子已經被清除乾淨。 附: 其實現在大部分的防毒軟體還是可以幫助查殺灰鴿子病毒的,本人使用的是瑞星防毒軟體並已經更新至最新版本,在正常模式下,瑞星查殺了除G_server.exe檔案外的所有檔案,其實本人並沒有指望瑞星能夠全部查殺,但瑞星實際上給我幫了一個大忙,就是幫我確定了所中灰鴿子病毒的型別,我在使用瑞星查殺時查殺了G_server.dll、G_server_Hook.dll和G_serverkey.dll這三個檔案以及由前兩個檔案釋放的附在其他程序下的檔案,這就讓我確定了剩下的那個檔案必然是G_server.exe,於是重新啟動計算機進入安全模式,首先要設定Windows顯示所有檔案。開啟“我的電腦”,選擇選單“工具”—》“資料夾選項”,點選“檢視”,取消“隱藏受保護的作業系統檔案”前的對勾,並在“隱藏檔案和資料夾”項中選擇“顯示所有檔案和資料夾”,然後點選“確定”。然後開啟Windows的“搜尋檔案”,因為確定病毒檔案為G_server.exe,但同時出於保險起見,在搜尋中輸入G_server*.*進行搜尋,並選擇所有分割槽,在C:\\windows目錄下發現了G_server.exe,但令我驚訝的是竟然在D盤發現了這個檔案的副本,其屬性同樣的隱藏的,所以建議大家在搜尋時搜尋所有分割槽,然後刪除即可!