病毒簡介
灰鴿子是國內一款著名後門。比起前輩冰河、黑洞來,灰鴿子可以說是國內後門的集大成者。其豐富而強大的功能、靈活多變的操作、良好的隱藏性使其他後門都相形見絀。客戶端簡易便捷的操作使剛入門的初學者都能充當黑客。當使用在合法情況下時,灰鴿子是一款優秀的遠程控制軟體。但如果拿它做一些非法的事,灰鴿子就成了很強大的黑客工具。這就好比火藥,用在不同的場合,給人類帶來不同的影響。對灰鴿子完整的介紹也許只有灰鴿子作者本人能夠說清楚,在此我們只能進行簡要介紹。
灰鴿子客戶端和服務端都是採用Delphi編寫。黑客利用客戶端程式配置出服務端程式。可配置的信息主要包括上線類型(如等待連線還是主動連線)、主動連線時使用的公網IP(域名)、連線密碼、使用的連線埠、啟動項名稱、服務名稱,進程隱藏方式,使用的殼,代理,圖示等等。
服務端對客戶端連線方式有多種,使得處於各種網路環境的用戶都可能中毒,包括區域網路用戶(通過代理上網)、公網用戶和ADSL撥號用戶等。
下面介紹服務端:
配置出來的服務端檔案檔案名稱為G_Server.exe(這是默認的,當然也可以改變)。然後黑客利用一切辦法誘騙用戶運行G_Server.exe程式。具體採用什麼辦法,讀者可以充分發揮想像力,這裡就不贅述。
G_Server.exe運行後將自己拷貝到Windows目錄下(98/xp下為系統盤的windows目錄,2k/NT下為系統盤的Winnt目錄),然後再從體內釋放G_Server.dll和G_Server_Hook.dll到windows目錄下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三個檔案相互配合組成了灰鴿子服務端, G_Server_Hook.dll負責隱藏灰鴿子。通過截獲進程的API調用隱藏灰鴿子的檔案、服務的註冊表項,甚至是進程中的模組名。截獲的函式主要是用來遍歷檔案、遍歷註冊表項和遍歷進程模組的一些函式。所以,有些時候用戶感覺種了毒,但仔細檢查卻又發現不了什麼異常。有些灰鴿子會多釋放出一個名為g_serverkey.dll的檔案用來記錄鍵盤操作。注意,G_Server.exe這個名稱並不固定,它是可以定製的,比如當定製服務端檔案名稱為a.exe時,生成的檔案就是A.exe、A.dll和A_Hook.dll。
Windows目錄下的G_Server.exe檔案將自己註冊成服務(9X系統寫註冊表啟動項),每次開機都能自動運行,運行後啟動G_Server.dll和G_Server_Hook.dll並自動退出。G_Server.dll檔案實現後門功能,與控制端客戶端進行通信;G_Server_Hook.dll則通過攔截API調用來隱藏病毒。因此,中毒後,我們看不到病毒檔案,也看不到病毒註冊的服務項。隨著灰鴿子服務端檔案的設定不同,G_Server_Hook.dll有時候附在Explorer.exe的進程空間中,有時候則是附在所有進程中。
灰鴿子的作者對於如何逃過防毒軟體的查殺花了很大力氣。由於一些API函式被截獲,正常模式下難以遍歷到灰鴿子的檔案和模組,造成查殺上的困難。要卸載灰鴿子動態庫而且保證系統進程不崩潰也很麻煩,因此造成了近期灰鴿子在網際網路上泛濫的局面。
手工檢測
由於灰鴿子攔截了API調用,在正常模式下服務端程式檔案和它註冊的服務項均被隱藏,也就是說你即使設定了“顯示所有隱藏檔案”也看不到它們。此外,灰鴿子服務端的檔案名稱也是可以自定義的,這都給手工檢測帶來了一定的困難。 但是,通過仔細觀察我們發現,對於灰鴿子的檢測仍然是有規律可循的。從上面的運行原理分析可以看出,無論自定義的伺服器端檔案名稱是什麼,一般都會在作業系統的安裝目錄下生成一個以“_hook.dll”結尾的檔案。通過這一點,我們可以較為準確手工檢測出灰鴿子 服務端。
由於正常模式下灰鴿子會隱藏自身,因此檢測灰鴿子的操作一定要在安全模式下進行。進入安全模式的方法是:啟動計算機,在系統進入Windows啟動畫面前,按下F8鍵(或者在啟動計算機時按住Ctrl鍵不放),在出現的啟動選項選單中,選擇“Safe Mode”或“安全模式”。
1、由於灰鴿子的檔案本身具有隱藏屬性,因此要設定Windows顯示所有檔案。打開“我的電腦”,選擇選單“工具”—》“資料夾選項”,點擊“查看”,取消“隱藏受保護的作業系統檔案”前的對勾,並在“隱藏檔案和資料夾”項中選擇“ 顯示所有檔案和資料夾”,然後點擊“確定”。
2、打開Windows的“搜尋檔案”,檔案名稱稱輸入“_hook.dll”,搜尋位置選擇Windows的安裝目錄(默認98/xp為C:\windows,2k/NT為C:\Winnt)。
3、經過搜尋,我們在Windows目錄(不包含子目錄)下發現了一個名為Game_Hook.dll的檔案。
4、根據灰鴿子原理分析我們知道,如果Game_Hook.DLL是灰鴿子的檔案,則在作業系統安裝目錄下還會有Game.exe和game.dll檔案。打開Windows目錄,果然有這兩個檔案,同時還有一個用於記錄鍵盤操作的GameKey.dll檔案。
經過這幾步操作我們基本就可以確定這些檔案是灰鴿子 服務端了,下面就可以進行手動清除。
手工清除
經過上面的分析,清除灰鴿子就很容易了。清除灰鴿子仍然要在安全模式下操作,主要有兩步:1、清除灰鴿子的服務;2刪除灰鴿子程式檔案。
注意:為防止誤操作,清除前一定要做好備份。
(一)、清除灰鴿子的服務
注意清除灰鴿子的服務一定要在註冊表里完成,對註冊表不熟悉的網友請找熟悉的人幫忙操作,清除灰鴿子的服務一定要先備份註冊表,或者到純DOS下將註冊表檔案更名,然後在去註冊表刪除灰鴿子的服務。因為病毒會和EXE檔案進行關聯
2000/XP系統:
1、打開註冊表編輯器(點擊“開始”-》“運行”,輸入“Regedit.exe”,確定。),打開 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services註冊表項。
2、點擊選單“編輯”-》“查找”,“查找目標”輸入“game.exe”,點擊確定,我們就可以找到灰鴿子的服務項(此例為Game_Server,每個人這個服務項名稱是不同的)。
3、刪除整個Game_Server項。
98/me系統:
在9X下,灰鴿子啟動項只有一個,因此清除更為簡單。運行註冊表編輯器,打開HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run項,我們立即看到名為Game.exe的一項,將Game.exe項刪除即可。
(二)、刪除灰鴿子程式檔案
刪除灰鴿子程式檔案非常簡單,只需要在安全模式下刪除Windows目錄下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll檔案,然後重新啟動計算機。至此,灰鴿子VIP 2005 服務端已經被清除乾淨。
以上介紹的方法適用於我們看到的大部分灰鴿子木馬及其變種,然而仍有極少數變種採用此種方法無法檢測和清除。同時,隨著灰鴿子新版本的不斷推出,作者可能會加入一些新的隱藏方法、防刪除手段,手工檢測和清除它的難度也會越來越大。
四、防止中灰鴿子病毒需要注意的事項
1. 給系統安裝補丁程式。通過Windows Update安裝好系統補丁程式(關鍵更新、安全更新和Service pack),其中MS04-011、MS04-012、MS04-013、MS03-001、MS03-007、MS03-049、MS04-032等都被病毒廣泛利用,是非常必要的補丁程式
2. 給系統管理員帳戶設定足夠複雜足夠強壯的密碼,最好能是10位以上,字母+數字+其它符號的組合;也可以禁用/刪除一些不使用的帳戶
3. 經常更新防毒軟體(病毒庫),設定允許的可設定為每天定時自動更新。安裝併合理使用網路防火牆軟體,網路防火牆在防病毒過程中也可以起到至關重要的作用,能有效地阻擋自來網路的攻擊和病毒的入侵。部分盜版Windows用戶不能正常安裝補丁,這點也比較無奈,這部分用戶不妨通過使用網路防火牆來進行一定防護
4. 關閉一些不需要的服務,條件允許的可關閉沒有必要的共享,也包括C$、D$等管理共享。完全單機的用戶可直接關閉Server服務。
下載hijackthis掃描系統
下載地址:
http://www.skycn.com/soft/15753.html zww3008漢化版
http://www.merijn.org/files/hijackthis.zip 英文版
2. 從HijackThis日誌的 O23項可以發現灰鴿子自的服務項
如最近流行的:
O23 - Service: SYSTEM$ (SYSTEM$Server) - Unknown owner - C:\WINDOWS\setemy.bat
O23 - Service: network connections Manager (NetConMan) - Unknown owner - C:\WINDOWS\uinstall.exe
O23 - Service: winServer - Unknown owner - C:\WINDOWS\winserver.exe
O23 - Service: Gray_Pigeon_Server (GrayPigeonServer) - Unknown owner - C:\WINDOWS\G_Server.exe
用HijackThis選中上面的O23項,然後選擇"修復該項"或"Fix checked"
3. 用KillBox刪除灰鴿子對應的木馬檔案 可以從這裡下載Killbox
“灰鴿子”殺傷力是“熊貓燒香”10倍
與“熊貓燒香”病毒的“張揚”不同,“灰鴿子”更像一個隱形的賊,潛伏在用戶“家”中,監視用戶的一舉一動,甚至用戶與MSN、QQ好友聊天的每一句話都難逃“鴿”眼。專家稱,“熊貓燒香”還停留在對電腦自身的破壞,而“灰鴿子”已經發展到對“人”的控制,而被控者卻毫不知情。從某種意義上講,“灰鴿子”的危害超出“熊貓燒香”10倍。
“灰鴿子”如何控制電腦牟利
“黑客培訓班”教網民通過“灰鴿子”控制別人電腦,“學費”最高200元,最低需要50元,學時一周到一個月不等。
黑客通過程式控制他人電腦後,將“肉雞”倒賣給廣告商,“肉雞”的價格在1角到1元不等。資深販子一個月內可以販賣10萬個“肉雞”。
被控制電腦被隨意投放廣告,或者乾脆控制電腦點擊某網站廣告,一舉一動都能被監視。
http://yncnc.onlinedown.net/soft/37257.htm
直接把檔案的路徑複製到 Killbox里刪除
通常都是下面這樣的檔案 "服務名"具體通過HijackThis判斷
C:\windows\服務名.dll
C:\windows\服務名.exe
C:\windows\服務名.bat
C:\windows\服務名key.dll
C:\windows\服務名_hook.dll
C:\windows\服務名_hook2.dll
舉例說明:
C:\WINDOWS\setemykey.dll
C:\WINDOWS\setemy.dll
C:\WINDOWS\setemy.exe
C:\WINDOWS\setemy_hook.dll
C:\WINDOWS\setemy_hook2.dll
用Killbox刪除那些木馬檔案,由於檔案具有隱藏屬性,可能無法直接看到,但Killbox能直接刪除. 上面的檔案不一定全部存在,如果Killbox提示檔案不存在或已經刪除就沒關係了
以上他們做了命名規則解釋 去下載一個木馬殺客灰鴿子專殺 下載地址 http://down911.com/SoftView/SoftView_3014.html 瑞星版本的專殺 下載地址 http://down911.com/SoftView/SoftView_3668.html 清理完後 需要重新啟動計算機 服務停止 然後去找那些殘留檔案 參見 上面回答者
軟體名稱: 灰鴿子(Huigezi、Gpigeon)專用檢測清除工具
界面語言: 簡體中文
軟體類型: 國產軟體
運行環境: /Win9X/Me/WinNT/2000/XP/2003
授權方式: 免費軟體
軟體大小: 414KB
軟體簡介: 由灰鴿子工作室開發的,針對灰鴿子專用清除器!可以清除VIP2005版灰鴿子服務端程式(包括防毒軟體殺不到的灰鴿子服務端)和灰鴿子 [輻射正式版] 和 DLL版服務端 牽手版服務端
運行DelHgzvip2005Server.exe檔案清除VIP2005版灰鴿子服務端程式,運行un_hgzserver.exe檔案清除灰鴿子 [輻射正式版] 和 DLL版服務端 牽手版服務