关于病毒和特洛伊木马
灰鸽的操作原理
灰鸽特洛伊分为两部分:客户端和服务器端。黑客(姑且这么说吧)操纵客户端,利用客户端配置生成服务器程序。服务器文件的名称默认为G_Server.exe,然后黑客通过各种渠道(俗称特洛伊或后门)传播这个特洛伊。有许多方法来培养特洛伊马。比如黑客可以把它绑定到一张图片上,然后通过QQ传给你这个害羞的MM,诱骗你跑步。还可以设置个人网页诱骗你点击,利用IE漏洞下载木马到你的机器上运行。也可以把文件上传到软件下载网站,伪装成有趣的软件诱骗用户下载...
由于鸽病毒的种类繁多,其文件名也变化很大。最近,(借壳。gpigen。SGR)是最常见的,这是很难处理的。被感染的系统%Windows%目录下会生成三个病毒文件,分别是G_Server.exe、G_Server.dll和G _ Server.dll..
G_Server.exe运行后将自身复制到windows目录(98/xp下系统盘的windows目录和2k/NT下系统盘的Winnt目录),然后将G_Server.dll和G_Server_Hook.dll从主体释放到Windows目录。G_Server.exe、G_Server.dll和G_Server_Hook.dll相互配合,组成灰鸽服务器。有些灰鸽子会额外释放一个名为G_ServerKey.dll的文件来记录键盘操作。
同时注意G_Server.exe这个名字并不是固定的,而是可以自定义的。例如,当定制服务器的文件名是A.exe时,生成的文件是A.exe、A.dll和a _ hook.dll..
Windows目录下的G_Server.exe文件将自己注册为服务(9X系统写注册表启动项),每次开机都能自动运行。运行后启动G_Server.dll和G_Server_Hook.dll并自动退出。G_Server.dll文件实现后门功能,与控制客户端通信;G_Server_Hook.dll通过拦截API调用来隐藏病毒。所以中毒后,我们看不到病毒文件,也看不到病毒注册的服务项目。随着灰鸽子服务端文件的不同设置,G_Server_Hook.dll有时会附着在Explorer.exe的进程空间,有时会附着在所有进程上。
灰鸽病毒的特点是“三藏”——隐藏进程、隐藏服务、隐藏病毒文件。
灰鸽的人工检测
因为灰鸽拦截了API调用,所以在正常模式下,特洛伊文件及其注册的服务项是隐藏的,也就是说即使设置了“显示所有隐藏文件”也看不到。另外,灰鸽服务器的文件名也可以自定义,给人工检测带来了一定的困难。
但是通过仔细观察,我们发现灰鸽子的检测还是有规律的。从上面的运行原理分析可以看出,无论用户自定义的服务器端文件名是什么,都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这个,我们可以更准确地用手探测灰鸽子特洛伊。
因为灰鸽在正常模式下会隐藏自己,所以检测灰鸽的操作必须在安全模式下进行。进入安全模式的方法是启动电脑,在系统进入Windows启动屏幕前按下F8,在出现的启动选项菜单中选择“安全模式”。
1.因为灰鸽的文件有隐藏属性,所以要设置窗口显示所有文件。打开我的电脑,选择工具-文件夹选项,单击查看,取消选中隐藏受保护的操作系统文件前的复选框,选择隐藏文件和文件夹中的显示所有文件和文件夹,然后单击确定。
2.打开Windows的“搜索文件”,输入“*_hook.dll”作为文件名,选择Windows的安装目录作为搜索位置(默认98/xp为C:\\windows,2k/NT为C:\\Winnt)。
3.经过搜索,在Windows目录下(不包括子目录)找到了一个名为G_Server_Hook.dll的文件。
4.根据灰鸽子原理分析,我们知道G_Server_Hook.dll是灰鸽子的文件,所以操作系统安装目录中会有G_Server.exe和G_Server.dll文件。打开Windows目录,果然有这两个文件,还有一个记录键盘操作的G_ServerKey.dll文件。
上面我也试过,但是不知道怎么操作,所以根本找不到。在李之后,我下载了一个WINDOWS的扫地机,扫描了一下硬盘,就把的文件全部烘干了。
经过这些步骤,基本可以确定这些文件是灰鸽木马,下面可以手动删除。人工清除灰鸽子
经过以上分析,灰鸽就很容易摆脱了。清除灰鸽仍然需要在安全模式下操作,主要包括两个步骤:1,清除灰鸽服务;删除灰鸽的程序文件。
注意:该操作需要在安全模式下进行。为防止误操作,清洗前必须做好备份。
第一,清除灰鸽子的服务
2000/XP系统:
1.打开注册表编辑器(点击“开始”-“运行”,输入“Regedit.exe”并确认。),打开HKEY本地机器\ \系统\ \当前控制集\ \服务注册表项。
2.点击编辑-查找,在查找目标中输入“G_server.exe”,点击确定,找到灰鸽子的服务项目。
3.删除G_server.exe整个键值所在的服务项。
【都是这么回事,可能真的是因为不懂操作,根本找不到,所以用了一个低B的方法,就是根据扫地机寻找李的文件名,居然找到了。呵呵~ `如果找不到果D,说明没有报名项目,直接进去了。
98/me系统:
9X以下,灰鸽只有一个起始物品,比较容易通关。运行注册表编辑器,打开HKEY _当前_用户\ \软件\ \微软\ \ Windows \ \当前版本\ \运行,马上可以看到一个名为g _ server.exe的项目。删了就好。
第二,删除灰鸽子程序文件
删除灰鸽的程序文件很简单。只需在安全模式下删除Windows目录下的G_server.exe、G_server.dll、G_server_Hook.dll、G_serverkey.dll文件,然后重启电脑即可。此时,灰色的鸽子已经被清理掉了。
附:
其实大部分杀毒软件还是可以帮助查杀灰鸽病毒的。我用的是瑞星杀毒软件,已经更新到最新版本。在正常模式下,瑞星已经杀死了除G_server.exe文件以外的所有文件。其实我也没指望瑞星把他们都干掉,但是瑞星其实帮了我大忙,就是帮我确定了灰鸽病毒的类型。我杀了三个文件,G_server.dll,G_server_Hook.dll和G_serverkey.dll,还有前两个文件释放的其他进程附带的文件,这让我确定剩下的文件一定是G_server.exe,于是重启电脑进入安全模式,先设置Windows显示所有文件。打开我的电脑,选择工具-文件夹选项,单击查看,取消选中隐藏受保护的操作系统文件前的复选框,选择隐藏文件和文件夹中的显示所有文件和文件夹,然后单击确定。然后打开Windows的“搜索文件”,因为病毒文件确定是G_server.exe,但同时为了保险起见,输入G_server*。*在搜索中进行搜索,并选择所有分区,并在C:\\windows目录下找到G_server.exe,但令我惊讶的是,我在D盘上发现了这个文件的副本,其属性也是隐藏的,所以建议大家。
此外,我需要进入注册表来删除服务密钥项。我用注册表的搜索功能搜索G_server,找到了灰鸽病毒的服务键值,发现有一个键值赫然写着“...灰鸽子……”,这让我怒不可遏,于是我把整个服务关键项都删了。至此,清除灰鸽病毒后,我重启电脑,开始了自己的工作,结合网上的一些。