灰鴿子病毒
灰鴿子病毒
灰鴿子( Huigezi),原本該軟體適用於公司和家庭管理,其功能十分強大,不但能監視攝像頭、鍵盤記錄、監控桌面、文件操作等。還提供了黑客專用功能,如:偽裝系統圖標、隨意更換啟動項名稱和表述、隨意更換埠、運行后自刪除、毫無提示安裝等,並採用反彈鏈接這種缺陷設計,使得使用者擁有最高許可權,一經破解即無法控制。最終導致被黑客惡意使用。原作者的灰鴿子被定義為是一款集多種控制方式於一體的木馬程序。
配置出來的服務端文件文件名為G_Server.exe(這是默認的,當然也可以改變)。然後黑客利用一切辦法誘騙用戶運行G_Server.exe程序。
G_Server.exe運行后將自己拷貝到Windows目錄下(98/xp下為系統盤的windows目錄,2k/NT下為系統盤的Winnt目錄),然後再從體內釋放G_Server.dll和G_Server_Hook.dll到windows目錄下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三個文件相互配合組成了灰鴿子服務端, G_Server_Hook.dll負責隱藏灰鴿子。通過截獲進程的API調用隱藏灰鴿子的文件、服務的註冊表項,甚至是進程中的模塊名。截獲的函數主要是用來遍歷文件、遍歷註冊表項和遍歷進程模塊的一些函數。所以,有些時候用戶感覺中了毒,但仔細檢查卻又發現不了什麼異常。有些灰鴿子會多釋放出一個名為G_ServerKey.dll的文件用來記錄鍵盤操作。注意,G_Server.exe這個名稱並不固定,它是可以定製的,比如當定製服務端文件名為A.exe時,生成的文件就是A.exe、A.dll和A_Hook.dll。
Windows目錄下的G_Server.exe文件將自己註冊成服務(9X系統寫註冊表啟動項),每次開機都能自動運行,運行后啟動G_Server.dll和G_Server_Hook.dll並自動退出。G_Server.dll文件實現後門功能,與控制端客戶端進行通信;G_Server_Hook.dll則通過攔截API調用來隱藏病毒。因此,中毒后,我們看不到病毒文件,也看不到病毒註冊的服務項。隨著灰鴿子服務端文件的設置不同,G_Server_Hook.dll有時候附在Explorer.exe的進程空間中,有時候則是附在所有進程中。
自2001年,灰鴿子誕生之日起,就被反病毒專業人士判定為最具危險性的後門程序,並引發了安全領域的高 度關注。2004年、2005年、2006年,灰鴿子木馬連續三年被國內各大殺毒廠商評選為年度十大病毒,灰鴿子也因此聲名大噪,逐步成為媒體以及網民關注的焦點。
灰鴿子自2001年出現至今,主要經歷了模仿期、飛速發展期以及全民駭客時代三大階段。
灰鴿子2011出現變種。服務端加殼之後僅有70kb,比葛軍的灰鴿子小了近10倍。國家多線程上線分組。可視化遠程開戶。可以躲過主流管理員的檢測方式,隱蔽性強。
“灰鴿子”是2001年出現的,採用Delphi編寫,最早並未以成品方式發布,更多的是以技術研究的姿態,採用了源碼共享的方式出現在網際網路,至今仍可搜索到“灰鴿子”早期版本的源碼。“灰鴿子”在出現的時候使用了當時討論最多的“反彈埠”連接方式,用以躲避大多數個人網路防火牆的攔截。“灰鴿子”在當時的名氣不及“冰河”,因此只出現了少量的感染,但其開放源碼的方式也讓“灰鴿子”逐漸增大了傳播量。灰鴿子出現后以源碼開放,所以出現多種不同的版本,由於服務端都以隱藏方式啟動,就奠定了其惡意後門木馬的地位。
灰鴿子產業鏈示意圖
灰鴿子
1.網頁傳播:病毒製作者將灰鴿子病毒植入網頁中,用戶瀏覽即感染;
2.郵件傳播:灰鴿子被捆綁在郵件附件中進行傳播;聊天工具傳播:通過即時聊天工具傳播攜帶灰鴿子的網頁鏈接或文件。
3.非法軟體傳播:病毒製作者將灰鴿子病毒捆綁進各種非法軟體,用戶下載解壓安裝即感染。
由於灰鴿子攔截了API調用,在正常模式下服務端程序文件和它註冊的服務項均被隱藏,也就是說你即使設置了“顯示所有隱藏文件”也看不到它們。此外,灰鴿子服務端的文件名也是可以自定義的,這都給手工檢測帶來了一定的困難。
但是,通過仔細觀察我們發現,對於灰鴿子的檢測仍然是有規律可循的。從上面的運行原理分析可以看出,無論自定義的伺服器端文件名是什麼,一般都會在操作系統的安裝目錄下生成一個以“_hook.dll”結尾的文件。通過這一點,我們可以較為準確手工檢測出灰鴿子 服務端。
由於正常模式下灰鴿子會隱藏自身,因此檢測灰鴿子的操作一定要在安全模式下進行。進入安全模式的方法是:啟動計算機,在系統進入Windows啟動畫面前,按下F8鍵(或者在啟動計算機時按住Ctrl鍵不放),在出現的啟動選項菜單中,選擇“Safe Mode”或“安全模式”。
1.由於灰鴿子的文件本身具有隱藏屬性,因此要設置Windows顯示所有文件。打開“我的電腦”,選擇菜單“工具”—》“文件夾選項”,點擊“查看”,取消“隱藏受保護的操作系統文件”前的對勾,並在“隱藏文件和文件夾”項中選擇“顯示所有文件和文件夾”,然後點擊“確定”。
2.打開Windows的“搜索文件”,文件名稱輸入“*_hook.dll”,搜索位置選擇Windows的安裝目錄(默認98/xp為C:\windows,2k/NT為C:\Winnt)。
3.經過搜索,我們在Windows目錄(不包含子目錄)下發現了一個名為Game_Hook.dll的文件。
4.根據灰鴿子原理分析我們知道,如果Game_Hook.DLL是灰鴿子的文件,則在操作系統安裝目錄下還會有Game.exe和Game.dll文件。打開Windows目錄,果然有這兩個文件,同時還有一個用於記錄鍵盤操作的GameKey.dll文件。
經過這幾步操作我們基本就可以確定這些文件是灰鴿子服務端了,下面就可以進行手動清除。
清除灰鴿子仍然要在安全模式下操作,主要有兩步:
1.清除灰鴿子的服務;
2.刪除灰鴿子程序文件。
注意:為防止誤操作,清除前一定要做好備份。
灰鴿子(挺進版)文件窗口
2000/XP系統:
1.打開註冊表編輯器(點擊“開始”-》“運行”,輸入“Regedit.exe”,確定。),打開 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services註冊表項。
2.點擊菜單“編輯”-》“查找”,“查找目標”輸入“game.exe”,點擊確定,我們就可以找到灰鴿子的服務項(此例為Game_Server,每個人這個服務項名稱是不同的)。
3.刪除整個Game_Server項。
98/me系統:
在98下,灰鴿子啟動項只有一個,因此清除更為簡單。運行註冊表編輯器,打開HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run項,我們立即看到名為Game.exe的一項,將Game.exe項刪除即可。
(二)、刪除灰鴿子程序文件
刪除灰鴿子程序文件非常簡單,只需要在安全模式下刪除Windows目錄下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件,然後重新啟動計算機。至此,灰鴿子VIP 2005服務端已經被清除乾淨。
以上介紹的方法適用於我們看到的大部分灰鴿子木馬及其變種,然而仍有極少數變種採用此種方法無法檢測和清除。同時,隨著灰鴿子新版本的不斷推出,作者可能會加入一些新的隱藏方法、防刪除手段,手工檢測和清除它的難度也會越來越大。
灰鴿子
2. 經常更新殺毒軟體(病毒庫),設置允許的可設置為每天定時自動更新。安裝併合理使用網路防火牆軟體,網路防火牆在防病毒過程中也可以起到至關重要的作用,能有效地阻擋自來網路的攻擊和病毒的入侵。部分盜版Windows用戶不能正常安裝補丁,這點也比較無奈,這部分用戶不妨通過使用網路防火牆來進行一定防護。
3. 關閉一些不需要的服務,條件允許的可關閉沒有必要的共享,也包括C$、D$等管理共享。完全單機的用戶可直接關閉Server服務。
全面圍剿灰鴿子