,,关于近来网上大量泛滥的灰鸽子病毒(Huigezi、Gpigeon)介绍和查杀大全附专杀工具
来自jakee的帖子,原论坛:最近很多网友反映他们的机器里有一个叫灰鸽的木马病毒。这种病毒非常顽固,对不同的软件有不同的名字,比如Gpigeon,Huigezi,Feutel。从电脑里取出来很麻烦,尤其是2005年的,刚开发出来。通过拦截windows系统的API,隐藏程序文件和进程。有三个隐藏的服务。一般正常模式下都找不到病毒文件,更别说查杀了。连查杀都很难处理,让用户很头疼。简要介绍了灰鸽病毒的工作原理、人工检测方法、人工清除方法、预防感染的注意事项等内容。大部分内容都是我从网上搜集整理加工的。如果侵犯了你的利益,请指出我。灰鸽病毒简介灰鸽是国内有名的后门。相比之前的冰川和黑洞,灰鸽在国内可以说是个走后门的高手。其丰富强大的功能,灵活的操作,良好的隐蔽性,让其他后门相形见绌。客户端操作简单方便,让新手也能充当黑客。合法使用时,灰鸽是一款优秀的远程控制软件。但是如果你用它做一些违法的事情,灰鸽子就变成了一个强大的黑客工具。这就像火药,用在不同的场合,对人类的影响也不一样。灰鸽的完整介绍可能只有作者本人清楚,这里只能简单介绍一下。灰鸽子客户端和服务器是用Delphi写的。黑客使用客户端程序来配置服务器程序。可配置信息主要包括在线类型(如等待连接或主动连接)、主动连接使用的公共IP(域名)、连接密码、使用的端口、启动项名称、服务名称、进程隐藏模式、使用的shell、代理、图标等。服务器连接客户端的方式很多,各种网络环境下的用户都可能中毒,包括局域网用户(通过代理上网)、公网用户、ADSL拨号用户。下面介绍一下服务器:配置好的服务器的文件名是G_Server.exe(这是默认的,当然也可以更改)。然后黑客用一切手段诱骗用户运行G_Server.exe程序。具体采用了哪些方法,读者可以充分发挥想象力,这里就不赘述了。G_Server.exe运行后将自身复制到windows目录(98/xp下系统盘的windows目录,2k/NT下系统盘的Winnt目录),然后将G_Server.dll和G_Server_Hook.dll从主体释放到Windows目录。G_Server.exe、G_Server.dll和G_Server_Hook.dll相互配合组成灰鸽子服务器,G_Server_Hook.dll负责隐藏灰鸽子。通过拦截进程的API调用,隐藏灰鸽子的文件,服务的注册表项,甚至是进程中的模块名。被拦截的函数主要用于遍历文件、注册表项和进程模块。所以有时候用户觉得中毒了,但是仔细检查也查不出什么异常。有些灰鸽子会额外释放一个名为G_ServerKey.dll的文件来记录键盘操作。注意G_Server.exe这个名字不是固定的,可以自定义。例如,当定制服务器的名称是A.exe时,生成的文件是A.exe、A.dll和a _ hook.dll。Windows目录下的G_Server.exe文件将自己注册为服务(9X系统写注册表启动项),每次启动都能自动运行。运行后,启动G_Server.dll和G_Server_Hook.dll,自动退出。G_Server.dll文件实现后门功能,与控制端客户端通信;G_Server_Hook.dll通过拦截API调用来隐藏病毒。所以中毒后,我们看不到病毒文件,也看不到病毒注册的服务。随着灰鸽服务器文件的不同设置,G_Server_Hook.dll有时会附加到Explorer.exe的进程空间,有时会附加到所有进程。《灰色》的作者在如何逃脱杀毒软件的查杀上花了不少功夫。
由于部分API函数被截获,很难在正常模式下遍历灰鸽的文件和模块,导致很难查杀。卸载灰鸽动态库,保证系统进程不崩溃也很麻烦,所以造成了最近网上灰鸽泛滥。第二,人工检测灰鸽。因为灰鸽拦截API调用,服务器程序文件及其注册的服务在正常模式下是隐藏的,也就是说即使设置了“显示所有隐藏文件”也看不到。另外,灰鸽服务器的文件名也可以自定义,给人工检测带来了一定的困难。但是通过仔细观察,我们发现灰鸽子的检测还是有规律的。从上面的运行原理分析可以看出,无论用户自定义的服务器端文件名是什么,一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这个我们可以更准确的手动检测灰鸽服务器。因为灰鸽子在正常模式下会隐藏自己,所以检测灰鸽子的操作必须在安全模式下进行。进入安全模式的方法是启动电脑,在系统进入Windows启动画面前按下F8键(或启动电脑时按住Ctrl键),在出现的启动选项菜单中选择安全模式或安全模式。1.因为灰鸽子的文件本身就有隐藏属性,所以需要设置窗口显示所有文件。打开我的电脑,选择工具-文件夹选项,点击查看,取消选中“隐藏受保护的操作系统文件”,在“隐藏文件和文件夹”中选择“显示所有文件和文件夹”,然后点击确定。2.打开Windows“搜索文件”,输入“_hook.dll”作为文件名,选择Windows的安装目录作为搜索位置(默认98/xp为C:\windows,2k/NT为C:\Winnt)。3.经过搜索,我们在Windows目录下(不包括子目录)找到了一个名为Game_Hook.dll的文件。4.根据灰鸽原理分析,我们知道如果Game_Hook。DLL是灰鸽子的文件,操作系统安装目录里会有Game.exe和Game.dll的文件。打开Windows目录。果然有这两个文件,还有一个记录键盘操作的GameKey.dll文件。经过这些步骤,基本可以确定这些文件是灰鸽子服务器,然后就可以手动清除了。三、灰鸽的人工去除经过以上分析,灰鸽的去除是很容易的。清灰鸽还是需要在安全模式下操作,主要有两个步骤:1。清除灰鸽子;2删除灰鸽程序文件。注意:为防止误操作,清洗前做好备份。(一)、清灰鸽服务。注意清除灰鸽子的服务必须在注册表中完成。不熟悉注册表的用户应该向熟悉注册表的人寻求帮助。清灰鸽的服务必须先备份注册表,或者在纯DOS下重命名注册表文件,到注册表后再删除灰鸽服务。因为病毒是和EXE文件联系在一起的。2000/XP系统:1。打开注册表编辑器(点击“开始”-“运行”,输入“Regedit.exe”并确认。),打开HKEY _本地_机器\系统\当前控制集\服务注册表项。2.点击菜单编辑-查找,查找目标,输入game.exe,点击确定,找到灰鸽子的服务项(这个例子是Game_Server,这个服务项的名字每个人不一样)。3.删除整个游戏服务器项目。98/ME系统:9X下,灰鸽子只有一个启动项,比较容易清除。运行注册表编辑器,打开HKEY _当前_用户\软件\微软\ windows \当前版本\运行项。我们可以立即看到一个名为Game.exe的键,然后删除Game.exe键。(2)删除灰鸽子程序文件删除灰鸽子程序文件很简单,只需在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll、Gamekey.dll文件,然后重启电脑即可。
至此,灰鸽子VIP2005服务器已经清空。上述方法适用于我们看到的大部分灰鸽木马及其变种,但仍有少数变种无法通过该方法检测并清除。同时,随着灰鸽新版本的不断推出,作者可能会增加一些新的隐藏方法和防删除方法,人工检测和清除会越来越困难。四。预防灰鸽病毒的注意事项1。给系统安装补丁。通过WindowsUpdate安装系统补丁(关键更新、安全更新和Servicepack),其中包括MS04-011、MS04-012、MS04-013、MS03-001、MS03-007、MS03-049、MS04-032等。被病毒广泛使用,是非常必要的补丁2。您还可以禁用/删除一些未使用的帐户。3.经常更新杀毒软件(病毒库),设置允许的每天定时自动更新。随着网络防火墙软件的安装和合理使用,网络防火墙也可以在反病毒的过程中发挥至关重要的作用,可以有效地阻挡来自网络的攻击和病毒的入侵。部分盗版Windows用户无法正常安装补丁,也是相当无奈。这些用户可能希望通过使用网络防火墙来采取一些保护措施。4.关闭一些不必要的服务,有条件的话关闭不必要的共享,包括C$、D$等管理共享。完整的单机用户可以直接关闭服务器服务。这些可以用优化软件如winxp Explorer关闭。已发布。原帖为BonJovi,发表于http://ftpe.ttian.net/2005/07/DelHgzvip2005Server.zip黑洞樊菲病毒救援区灰鸽的Vip2005 cleaner,灰鸽的后门查杀工具,http://www.cert.org.cn/articles/tools/common/. 2005051322256 . shtml如果查杀工具没有找到灰鸽,请参考以下方法手动删除。按照下面的说明,3个步骤,就可以彻底删除系统中的灰鸽木马。1.下载HijackThis扫描系统。下载地址:http://www.skycn.com/soft/15753.htmlzww3008中文版http://www.merijn.org/files/.英文版hijackthis.zip 2。从HijackThis日志中的O23项可以找到灰鸽子的服务项,比如最新流行的:O23-Service:system $(system $ server)-unknown owner-C:\ WINDOWS \ setemy . bat O23-Service:NetworkConnectionsManager(NetConMan)-unknown owner-C:\ WINDOWS \ ui install . exe O23-Service:winServer-unknown owner-C:\ WINDOWS \ Winserver.exe O23-Service:gray _ Pigeon server(gray Pigeon server)-unknown own own owner-C:\3.用Killbox删除灰鸽对应的木马文件。你可以从这里下载杀手盒http://yncnc.onlinedown.net/soft/。37257.htm直接将文件的路径复制到Killbox中以删除文件“服务名”,通常如下所示。具体是通过HijackThis C:\ Windows \ service name.dll C:\ Windows \ service name.exe C:\ Windows \ service name . bat C:\ Windows \ service name key.dll C:\ Windows \ service name _ hook . dll C:\ Windows \ service name _ hook 2 . dll举例:C:\ Windows \ setemykey.dll C:\ Windows \ setemy.dll C:\ Windows \ setemy.exe C:\ Windows \ Setemy _ hook.dll C:\ Windows \ Setemy _ hook2.dll用Killbox删除那些木马文件。因为文件有隐藏属性,它们可能不直接可见,但是Killbox可以直接删除它们。以上文件不一定都存在,Killbox提示文件不存在或者已经被删除也没关系。
郑重声明:本文由网友发布,不代表盛行IT的观点,版权归原作者所有,仅为传播更多信息之目的,如有侵权请联系,我们将第一时间修改或删除,多谢。