灰鴿子(Backdoor.Huigezi)作者現(xiàn)在還沒有停止對灰鴿子的開發(fā),再加上有些人為了避開殺毒軟件的查殺故意給灰鴿子加上各種不同的殼,造成現(xiàn)在網(wǎng)絡(luò)上不斷有新的灰鴿子變種出現(xiàn)。盡管瑞星公司一直在不遺余力地收集最新的灰鴿子樣本,但由于變種繁多,還會有一些“漏網(wǎng)之魚”。如果您的機器出現(xiàn)灰鴿子癥狀但用瑞星殺毒軟件查不到,那很可能是中了還沒有被截獲的新變種。這個時候,就需要手工殺掉灰鴿子。
手工清除灰鴿子并不難,重要的是我們必須懂得它的運行原理。
灰鴿子的運行原理
灰鴿子木馬分兩部分:客戶端和服務(wù)端。黑客(姑且這么稱呼吧)操縱著客戶端,利用客戶端配置生成出一個服務(wù)端程序。服務(wù)端文件的名字默認為G_Server.exe,然后黑客通過各種渠道傳播這個木馬(俗稱種木馬或者開后門)。種木馬的手段有很多,比如,黑客可以將它與一張圖片綁定,然后假冒成一個羞澀的MM通過QQ把木馬傳給你,誘騙你運行;也可以建立一個個人網(wǎng)頁,誘騙你點擊,利用IE漏洞把木馬下載到你的機器上并運行;還可以將文件上傳到某個軟件下載站點,冒充成一個有趣的軟件誘騙用戶下載……
G_Server.exe運行后將自己拷貝到Windows目錄下(98/xp下為系統(tǒng)盤的windows目錄,2k/NT下為系統(tǒng)盤的Winnt目錄),然后再從體內(nèi)釋放G_Server.dll和G_Server_Hook.dll到windows目錄下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三個文件相互配合組成了灰鴿子服務(wù)端,有些灰鴿子會多釋放出一個名為G_ServerKey.dll的文件用來記錄鍵盤操作。注意,G_Server.exe這個名稱并不固定,它是可以定制的,比如當(dāng)定制服務(wù)端文件名為A.exe時,生成的文件就是A.exe、A.dll和A_Hook.dll。
Windows目錄下的G_Server.exe文件將自己注冊成服務(wù)(9X系統(tǒng)寫注冊表啟動項),每次開機都能自動運行,運行后啟動G_Server.dll和G_Server_Hook.dll并自動退出。G_Server.dll文件實現(xiàn)后門功能,與控制端客戶端進行通信;G_Server_Hook.dll則通過攔截API調(diào)用來隱藏病毒。因此,中毒后,我們看不到病毒文件,也看不到
灰鴿子(Backdoor.Huigezi)作者現(xiàn)在還沒有停止對灰鴿子的開發(fā),再加上有些人為了避開殺毒軟件的查殺故意給灰鴿子加上各種不同的殼,造成現(xiàn)在網(wǎng)絡(luò)上不斷有新的灰鴿子變種出現(xiàn)。盡管瑞星公司一直在不遺余力地收集最新的灰鴿子樣本,但由于變種繁多,還會有一些“漏網(wǎng)之魚”。如果您的機器出現(xiàn)灰鴿子癥狀但用瑞星殺毒軟件查不到,那很可能是中了還沒有被截獲的新變種。這個時候,就需要手工殺掉灰鴿子。
手工清除灰鴿子并不難,重要的是我們必須懂得它的運行原理。
灰鴿子的運行原理
灰鴿子木馬分兩部分:客戶端和服務(wù)端。黑客(姑且這么稱呼吧)操縱著客戶端,利用客戶端配置生成出一個服務(wù)端程序。服務(wù)端文件的名字默認為G_Server.exe,然后黑客通過各種渠道傳播這個木馬(俗稱種木馬或者開后門)。種木馬的手段有很多,比如,黑客可以將它與一張圖片綁定,然后假冒成一個羞澀的MM通過QQ把木馬傳給你,誘騙你運行;也可以建立一個個人網(wǎng)頁,誘騙你點擊,利用IE漏洞把木馬下載到你的機器上并運行;還可以將文件上傳到某個軟件下載站點,冒充成一個有趣的軟件誘騙用戶下載……
G_Server.exe運行后將自己拷貝到Windows目錄下(98/xp下為系統(tǒng)盤的windows目錄,2k/NT下為系統(tǒng)盤的Winnt目錄),然后再從體內(nèi)釋放G_Server.dll和G_Server_Hook.dll到windows目錄下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三個文件相互配合組成了灰鴿子服務(wù)端,有些灰鴿子會多釋放出一個名為G_ServerKey.dll的文件用來記錄鍵盤操作。注意,G_Server.exe這個名稱并不固定,它是可以定制的,比如當(dāng)定制服務(wù)端文件名為A.exe時,生成的文件就是A.exe、A.dll和A_Hook.dll。
Windows目錄下的G_Server.exe文件將自己注冊成服務(wù)(9X系統(tǒng)寫注冊表啟動項),每次開機都能自動運行,運行后啟動G_Server.dll和G_Server_Hook.dll并自動退出。G_Server.dll文件實現(xiàn)后門功能,與控制端客戶端進行通信;G_Server_Hook.dll則通過攔截API調(diào)用來隱藏病毒。因此,中毒后,我們看不到病毒文件,也看不到病毒注冊的服務(wù)項。隨著灰鴿子服務(wù)端文件的設(shè)置不同,G_Server_Hook.dll有時候附在Explorer.exe的進程空間中,有時候則是附在所有進程中。
灰鴿子的手工檢測
由于灰鴿子攔截了API調(diào)用,在正常模式下木馬程序文件和它注冊的服務(wù)項均被隱藏,也就是說你即使設(shè)置了“顯示所有隱藏文件”也看不到它們。此外,灰鴿子服務(wù)端的文件名也是可以自定義的,這都給手工檢測帶來了一定的困難。
但是,通過仔細觀察我們發(fā)現(xiàn),對于灰鴿子的檢測仍然是有規(guī)律可循的。從上面的運行原理分析可以看出,無論自定義的服務(wù)器端文件名是什么,一般都會在操作系統(tǒng)的安裝目錄下生成一個以“_hook.dll”結(jié)尾的文件。通過這一點,我們可以較為準確手工檢測出灰鴿子木馬。
由于正常模式下灰鴿子會隱藏自身,因此檢測灰鴿子的操作一定要在安全模式下進行。進入安全模式的方法是:啟動計算機,在系統(tǒng)進入Windows啟動畫面前,按下F8鍵(或者在啟動計算機時按住Ctrl鍵不放),在出現(xiàn)的啟動選項菜單中,選擇“Safe Mode”或“安全模式”。
1、由于灰鴿子的文件本身具有隱藏屬性,因此要設(shè)置Windows顯示所有文件。打開“我的電腦”,選擇菜單“工具”―》“文件夾選項”,點擊“查看”,取消“隱藏受保護的操作系統(tǒng)文件”前的對勾,并在“隱藏文件和文件夾”項中選擇“顯示所有文件和文件夾”,然后點擊“確定”。
![圖片點擊可在新窗口打開查看]("http://cimg.163.com/catchpic/6/6E/6E95883001D3B0CC7632D2693FEEF1C5.jpg" "在新的瀏覽器窗口中打開?")
2、打開Windows的“搜索文件”,文件名稱輸入“_hook.dll”,搜索位置選擇Windows的安裝目錄(默認98/xp為C:windows,2k/NT為C:Winnt)。
![圖片點擊可在新窗口打開查看]("http://cimg.163.com/catchpic/E/E0/E0013AC8C6C5EB73FC3D91969EA01811.jpg" "在新的瀏覽器窗口中打開?")
3、經(jīng)過搜索,我們在Windows目錄(不包含子目錄)下發(fā)現(xiàn)了一個名為Game_Hook.dll的文件。
![圖片點擊可在新窗口打開查看]("http://cimg.163.com/catchpic/E/EE/EE44450A4578F83DA623D331E0AFA72D.jpg" "在新的瀏覽器窗口中打開?")
4、根據(jù)灰鴿子原理分析我們知道,如果Game_Hook.DLL是灰鴿子的文件,則在操作系統(tǒng)安裝目錄下還會有Game.exe和Game.dll文件。打開Windows目錄,果然有這兩個文件,同時還有一個用于記錄鍵盤操作的GameKey.dll文件。
![圖片點擊可在新窗口打開查看]("http://cimg.163.com/catchpic/2/21/210B4E622E3760587D12F55CB638E55D.jpg" "在新的瀏覽器窗口中打開?")
經(jīng)過這幾步操作我們基本就可以確定這些文件是灰鴿子木馬了,下面就可以進行手動清除。
灰鴿子的手工清除
經(jīng)過上面的分析,清除灰鴿子就很容易了。清除灰鴿子仍然要在安全模式下操作,主要有兩步:1、清除灰鴿子的服務(wù);2刪除灰鴿子程序文件。
注意:為防止誤操作,清除前一定要做好備份。
一、清除灰鴿子的服務(wù)
2000/XP系統(tǒng):
1、打開注冊表編輯器(點擊“開始”-》“運行”,輸入“Regedit.exe”,確定。),打開 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices注冊表項。
2、點擊菜單“編輯”-》“查找”,“查找目標”輸入“game.exe”,點擊確定,我們就可以找到灰鴿子的服務(wù)項(此例為Game_Server)。
![圖片點擊可在新窗口打開查看]("http://cimg.163.com/catchpic/0/02/022404CF24C65EFDC4A02CCEA399EFEF.jpg" "在新的瀏覽器窗口中打開?")
3、刪除整個Game_Server項。
98/me系統(tǒng):
在9X下,灰鴿子啟動項只有一個,因此清除更為簡單。運行注冊表編輯器,打開HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun項,我們立即看到名為Game.exe的一項,將Game.exe項刪除即可。
![圖片點擊可在新窗口打開查看]("http://cimg.163.com/catchpic/A/A7/A7EF079BBBFED778955C2CAB2CF64152.gif" "在新的瀏覽器窗口中打開?")
二、刪除灰鴿子程序文件
刪除灰鴿子程序文件非常簡單,只需要在安全模式下刪除Windows目錄下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件,然后重新啟動計算機。至此,灰鴿子已經(jīng)被清除干凈。
小結(jié)
本文給出了一個手工檢測和清除灰鴿子的通用方法,適用于我們看到的大部分灰鴿子木馬及其變種,然而仍有極少數(shù)變種采用此種方法無法檢測和清除。同時,隨著灰鴿子新版本的不斷推出,作者可能會加入一些新的隱藏方法、防刪除手段,手工檢測和清除它的難度也會越來越大。當(dāng)你確定機器中了灰鴿子木馬而用本文所述的方法又檢測不到時,最好找有經(jīng)驗的朋友幫忙解決。
同時隨著瑞星殺毒軟件2005版產(chǎn)品發(fā)布,殺毒軟件查殺未知病毒的能力得到了進一步提高。經(jīng)過瑞星公司研發(fā)部門的不斷努力,灰鴿子病毒可以被安全有效地自動清除,需要用戶手動刪除它的機會也將越來越少。
病毒注冊的服務(wù)項。隨著灰鴿子服務(wù)端文件的設(shè)置不同,G_Server_Hook.dll有時候附在Explorer.exe的進程空間中,有時候則是附在所有進程中。
手工清除灰鴿子并不難,重要的是我們必須懂得它的運行原理。
灰鴿子的運行原理
灰鴿子木馬分兩部分:客戶端和服務(wù)端。黑客(姑且這么稱呼吧)操縱著客戶端,利用客戶端配置生成出一個服務(wù)端程序。服務(wù)端文件的名字默認為G_Server.exe,然后黑客通過各種渠道傳播這個木馬(俗稱種木馬或者開后門)。種木馬的手段有很多,比如,黑客可以將它與一張圖片綁定,然后假冒成一個羞澀的MM通過QQ把木馬傳給你,誘騙你運行;也可以建立一個個人網(wǎng)頁,誘騙你點擊,利用IE漏洞把木馬下載到你的機器上并運行;還可以將文件上傳到某個軟件下載站點,冒充成一個有趣的軟件誘騙用戶下載……
G_Server.exe運行后將自己拷貝到Windows目錄下(98/xp下為系統(tǒng)盤的windows目錄,2k/NT下為系統(tǒng)盤的Winnt目錄),然后再從體內(nèi)釋放G_Server.dll和G_Server_Hook.dll到windows目錄下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三個文件相互配合組成了灰鴿子服務(wù)端,有些灰鴿子會多釋放出一個名為G_ServerKey.dll的文件用來記錄鍵盤操作。注意,G_Server.exe這個名稱并不固定,它是可以定制的,比如當(dāng)定制服務(wù)端文件名為A.exe時,生成的文件就是A.exe、A.dll和A_Hook.dll。
Windows目錄下的G_Server.exe文件將自己注冊成服務(wù)(9X系統(tǒng)寫注冊表啟動項),每次開機都能自動運行,運行后啟動G_Server.dll和G_Server_Hook.dll并自動退出。G_Server.dll文件實現(xiàn)后門功能,與控制端客戶端進行通信;G_Server_Hook.dll則通過攔截API調(diào)用來隱藏病毒。因此,中毒后,我們看不到病毒文件,也看不到
灰鴿子(Backdoor.Huigezi)作者現(xiàn)在還沒有停止對灰鴿子的開發(fā),再加上有些人為了避開殺毒軟件的查殺故意給灰鴿子加上各種不同的殼,造成現(xiàn)在網(wǎng)絡(luò)上不斷有新的灰鴿子變種出現(xiàn)。盡管瑞星公司一直在不遺余力地收集最新的灰鴿子樣本,但由于變種繁多,還會有一些“漏網(wǎng)之魚”。如果您的機器出現(xiàn)灰鴿子癥狀但用瑞星殺毒軟件查不到,那很可能是中了還沒有被截獲的新變種。這個時候,就需要手工殺掉灰鴿子。
手工清除灰鴿子并不難,重要的是我們必須懂得它的運行原理。
灰鴿子的運行原理
灰鴿子木馬分兩部分:客戶端和服務(wù)端。黑客(姑且這么稱呼吧)操縱著客戶端,利用客戶端配置生成出一個服務(wù)端程序。服務(wù)端文件的名字默認為G_Server.exe,然后黑客通過各種渠道傳播這個木馬(俗稱種木馬或者開后門)。種木馬的手段有很多,比如,黑客可以將它與一張圖片綁定,然后假冒成一個羞澀的MM通過QQ把木馬傳給你,誘騙你運行;也可以建立一個個人網(wǎng)頁,誘騙你點擊,利用IE漏洞把木馬下載到你的機器上并運行;還可以將文件上傳到某個軟件下載站點,冒充成一個有趣的軟件誘騙用戶下載……
G_Server.exe運行后將自己拷貝到Windows目錄下(98/xp下為系統(tǒng)盤的windows目錄,2k/NT下為系統(tǒng)盤的Winnt目錄),然后再從體內(nèi)釋放G_Server.dll和G_Server_Hook.dll到windows目錄下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三個文件相互配合組成了灰鴿子服務(wù)端,有些灰鴿子會多釋放出一個名為G_ServerKey.dll的文件用來記錄鍵盤操作。注意,G_Server.exe這個名稱并不固定,它是可以定制的,比如當(dāng)定制服務(wù)端文件名為A.exe時,生成的文件就是A.exe、A.dll和A_Hook.dll。
Windows目錄下的G_Server.exe文件將自己注冊成服務(wù)(9X系統(tǒng)寫注冊表啟動項),每次開機都能自動運行,運行后啟動G_Server.dll和G_Server_Hook.dll并自動退出。G_Server.dll文件實現(xiàn)后門功能,與控制端客戶端進行通信;G_Server_Hook.dll則通過攔截API調(diào)用來隱藏病毒。因此,中毒后,我們看不到病毒文件,也看不到病毒注冊的服務(wù)項。隨著灰鴿子服務(wù)端文件的設(shè)置不同,G_Server_Hook.dll有時候附在Explorer.exe的進程空間中,有時候則是附在所有進程中。
灰鴿子的手工檢測
由于灰鴿子攔截了API調(diào)用,在正常模式下木馬程序文件和它注冊的服務(wù)項均被隱藏,也就是說你即使設(shè)置了“顯示所有隱藏文件”也看不到它們。此外,灰鴿子服務(wù)端的文件名也是可以自定義的,這都給手工檢測帶來了一定的困難。
但是,通過仔細觀察我們發(fā)現(xiàn),對于灰鴿子的檢測仍然是有規(guī)律可循的。從上面的運行原理分析可以看出,無論自定義的服務(wù)器端文件名是什么,一般都會在操作系統(tǒng)的安裝目錄下生成一個以“_hook.dll”結(jié)尾的文件。通過這一點,我們可以較為準確手工檢測出灰鴿子木馬。
由于正常模式下灰鴿子會隱藏自身,因此檢測灰鴿子的操作一定要在安全模式下進行。進入安全模式的方法是:啟動計算機,在系統(tǒng)進入Windows啟動畫面前,按下F8鍵(或者在啟動計算機時按住Ctrl鍵不放),在出現(xiàn)的啟動選項菜單中,選擇“Safe Mode”或“安全模式”。
1、由于灰鴿子的文件本身具有隱藏屬性,因此要設(shè)置Windows顯示所有文件。打開“我的電腦”,選擇菜單“工具”―》“文件夾選項”,點擊“查看”,取消“隱藏受保護的操作系統(tǒng)文件”前的對勾,并在“隱藏文件和文件夾”項中選擇“顯示所有文件和文件夾”,然后點擊“確定”。
2、打開Windows的“搜索文件”,文件名稱輸入“_hook.dll”,搜索位置選擇Windows的安裝目錄(默認98/xp為C:windows,2k/NT為C:Winnt)。
3、經(jīng)過搜索,我們在Windows目錄(不包含子目錄)下發(fā)現(xiàn)了一個名為Game_Hook.dll的文件。
4、根據(jù)灰鴿子原理分析我們知道,如果Game_Hook.DLL是灰鴿子的文件,則在操作系統(tǒng)安裝目錄下還會有Game.exe和Game.dll文件。打開Windows目錄,果然有這兩個文件,同時還有一個用于記錄鍵盤操作的GameKey.dll文件。
經(jīng)過這幾步操作我們基本就可以確定這些文件是灰鴿子木馬了,下面就可以進行手動清除。
灰鴿子的手工清除
經(jīng)過上面的分析,清除灰鴿子就很容易了。清除灰鴿子仍然要在安全模式下操作,主要有兩步:1、清除灰鴿子的服務(wù);2刪除灰鴿子程序文件。
注意:為防止誤操作,清除前一定要做好備份。
一、清除灰鴿子的服務(wù)
2000/XP系統(tǒng):
1、打開注冊表編輯器(點擊“開始”-》“運行”,輸入“Regedit.exe”,確定。),打開 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices注冊表項。
2、點擊菜單“編輯”-》“查找”,“查找目標”輸入“game.exe”,點擊確定,我們就可以找到灰鴿子的服務(wù)項(此例為Game_Server)。
3、刪除整個Game_Server項。
98/me系統(tǒng):
在9X下,灰鴿子啟動項只有一個,因此清除更為簡單。運行注冊表編輯器,打開HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun項,我們立即看到名為Game.exe的一項,將Game.exe項刪除即可。
二、刪除灰鴿子程序文件
刪除灰鴿子程序文件非常簡單,只需要在安全模式下刪除Windows目錄下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件,然后重新啟動計算機。至此,灰鴿子已經(jīng)被清除干凈。
小結(jié)
本文給出了一個手工檢測和清除灰鴿子的通用方法,適用于我們看到的大部分灰鴿子木馬及其變種,然而仍有極少數(shù)變種采用此種方法無法檢測和清除。同時,隨著灰鴿子新版本的不斷推出,作者可能會加入一些新的隱藏方法、防刪除手段,手工檢測和清除它的難度也會越來越大。當(dāng)你確定機器中了灰鴿子木馬而用本文所述的方法又檢測不到時,最好找有經(jīng)驗的朋友幫忙解決。
同時隨著瑞星殺毒軟件2005版產(chǎn)品發(fā)布,殺毒軟件查殺未知病毒的能力得到了進一步提高。經(jīng)過瑞星公司研發(fā)部門的不斷努力,灰鴿子病毒可以被安全有效地自動清除,需要用戶手動刪除它的機會也將越來越少。
病毒注冊的服務(wù)項。隨著灰鴿子服務(wù)端文件的設(shè)置不同,G_Server_Hook.dll有時候附在Explorer.exe的進程空間中,有時候則是附在所有進程中。
