轉(zhuǎn)自原論壇 jakee 的帖子：
近來很多網(wǎng)友反映他們的機器中了一種叫做灰鴿子的木馬病毒，這種病毒很是頑劣，在不同殺軟上有不同名稱比如：Gpigeon、Huigezi、Feutel，在計算機中清除它很是費事，特別是其剛剛開發(fā)出的2005，通過截取windows系統(tǒng)的API實現(xiàn)了程序文件隱藏、進(jìn)程隱藏，服務(wù)隱藏三個隱藏，一般殺軟在正常模式下根本就找不到其病毒文件，更別提查殺了的事情了，連殺軟都很難對付，對用戶而言更是頭痛了，本文簡單介紹了灰鴿子病毒的運行原理，手工檢測方法、手工清除方法、防止感染的注意事項等內(nèi)容，大部分內(nèi)容都來自網(wǎng)絡(luò)，由我搜集、整理、加工而成，如果侵犯了你的利益請指出我立刻糾正。
一、灰鴿子病毒簡介
灰鴿子是國內(nèi)一款著名后門。比起前輩冰河、黑洞來，灰鴿子可以說是國內(nèi)后門的集大成者。其豐富而強大的功能、靈活多變的操作、良好的隱藏性使其他后門都相形見絀?？蛻舳撕喴妆憬莸牟僮魇箘?cè)腴T的初學(xué)者都能充當(dāng)黑客。當(dāng)使用在合法情況下時，灰鴿子是一款優(yōu)秀的遠(yuǎn)程控制軟件。但如果拿它做一些非法的事，灰鴿子就成了很強大的黑客工具。這就好比火藥，用在不同的場合，給人類帶來不同的影響。對灰鴿子完整的介紹也許只有灰鴿子作者本人能夠說清楚，在此我們只能進(jìn)行簡要介紹。
灰鴿子客戶端和服務(wù)端都是采用Delphi編寫。黑客利用客戶端程序配置出服務(wù)端程序?？膳渲玫男畔⒅饕ㄉ暇€類型（如等待連接還是主動連接）、主動連接時使用的公網(wǎng)IP（域名）、連接密碼、使用的端口、啟動項名稱、服務(wù)名稱，進(jìn)程隱藏方式，使用的殼，代理，圖標(biāo)等等。
服務(wù)端對客戶端連接方式有多種，使得處于各種網(wǎng)絡(luò)環(huán)境的用戶都可能中毒，包括局域網(wǎng)用戶（通過代理上網(wǎng)）、公網(wǎng)用戶和ADSL撥號用戶等。
下面介紹服務(wù)端：
配置出來的服務(wù)端文件文件名為G_Server.exe（這是默認(rèn)的，當(dāng)然也可以改變）。然后黑客利用一切辦法誘騙用戶運行G_Server.exe程序。具體采用什么辦法，讀者可以充分發(fā)揮想象力，這里就不贅述。
G_Server.exe運行后將自己拷貝到Windows目錄下(98/xp下為系統(tǒng)盤的windows目錄，2k/NT下為系統(tǒng)盤的Winnt目錄)，然后再從體內(nèi)釋放G_Server.dll和G_Server_Hook.dll到windows目錄下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三個文件相互配合組成了灰鴿子服務(wù)端， G_Server_Hook.dll負(fù)責(zé)隱藏灰鴿子。通過截獲進(jìn)程的API調(diào)用隱藏灰鴿子的文件、服務(wù)的注冊表項，甚至是進(jìn)程中的模塊名。截獲的函數(shù)主要是用來遍歷文件、遍歷注冊表項和遍歷進(jìn)程模塊的一些函數(shù)。所以，有些時候用戶感覺種了毒，但仔細(xì)檢查卻又發(fā)現(xiàn)不了什么異常。有些灰鴿子會多釋放出一個名為G_ServerKey.dll的文件用來記錄鍵盤操作。注意，G_Server.exe這個名稱并不固定，它是可以定制的，比如當(dāng)定制服務(wù)端文件名為A.exe時，生成的文件就是A.exe、A.dll和A_Hook.dll。
Windows目錄下的G_Server.exe文件將自己注冊成服務(wù)（9X系統(tǒng)寫注冊表啟動項），每次開機都能自動運行，運行后啟動G_Server.dll和G_Server_Hook.dll并自動退出。G_Server.dll文件實現(xiàn)后門功能，與控制端客戶端進(jìn)行通信；G_Server_Hook.dll則通過攔截API調(diào)用來隱藏病毒。因此，中毒后，我們看不到病毒文件，也看不到病毒注冊的服務(wù)項。隨著灰鴿子服務(wù)端文件的設(shè)置不同，G_Server_Hook.dll有時候附在Explorer.exe的進(jìn)程空間中，有時候則是附在所有進(jìn)程中。
灰鴿子的作者對于如何逃過殺毒軟件的查殺花了很大力氣。由于一些API函數(shù)被截獲，正常模式下難以遍歷到灰鴿子的文件和模塊，造成查殺上的困難。要卸載灰鴿子動態(tài)庫而且保證系統(tǒng)進(jìn)程不崩潰也很麻煩，因此造成了近期灰鴿子在互聯(lián)網(wǎng)上泛濫的局面。
二、灰鴿子的手工檢測
由于灰鴿子攔截了API調(diào)用，在正常模式下服務(wù)端程序文件和它注冊的服務(wù)項均被隱藏，也就是說你即使設(shè)置了“顯示所有隱藏文件”也看不到它們。此外，灰鴿子服務(wù)端的文件名也是可以自定義的，這都給手工檢測帶來了一定的困難。
但是，通過仔細(xì)觀察我們發(fā)現(xiàn)，對于灰鴿子的檢測仍然是有規(guī)律可循的。從上面的運行原理分析可以看出，無論自定義的服務(wù)器端文件名是什么，一般都會在操作系統(tǒng)的安裝目錄下生成一個以“_hook.dll”結(jié)尾的文件。通過這一點，我們可以較為準(zhǔn)確手工檢測出灰鴿子 服務(wù)端。
由于正常模式下灰鴿子會隱藏自身，因此檢測灰鴿子的操作一定要在安全模式下進(jìn)行。進(jìn)入安全模式的方法是：啟動計算機，在系統(tǒng)進(jìn)入Windows啟動畫面前，按下F8鍵(或者在啟動計算機時按住Ctrl鍵不放)，在出現(xiàn)的啟動選項菜單中，選擇“Safe Mode”或“安全模式”。
1、由于灰鴿子的文件本身具有隱藏屬性，因此要設(shè)置Windows顯示所有文件。打開“我的電腦”，選擇菜單“工具”—》“文件夾選項”，點擊“查看”，取消“隱藏受保護(hù)的操作系統(tǒng)文件”前的對勾，并在“隱藏文件和文件夾”項中選擇“顯示所有文件和文件夾”，然后點擊“確定”。
2、打開Windows的“搜索文件”，文件名稱輸入“_hook.dll”，搜索位置選擇Windows的安裝目錄（默認(rèn)98/xp為C:\windows，2k/NT為C:\Winnt）。 
3、經(jīng)過搜索，我們在Windows目錄（不包含子目錄）下發(fā)現(xiàn)了一個名為Game_Hook.dll的文件。
4、根據(jù)灰鴿子原理分析我們知道，如果Game_Hook.DLL是灰鴿子的文件，則在操作系統(tǒng)安裝目錄下還會有Game.exe和Game.dll文件。打開Windows目錄，果然有這兩個文件，同時還有一個用于記錄鍵盤操作的GameKey.dll文件。
　
經(jīng)過這幾步操作我們基本就可以確定這些文件是灰鴿子 服務(wù)端了，下面就可以進(jìn)行手動清除。
三、灰鴿子的手工清除
經(jīng)過上面的分析，清除灰鴿子就很容易了。清除灰鴿子仍然要在安全模式下操作，主要有兩步：1、清除灰鴿子的服務(wù)；2刪除灰鴿子程序文件。
注意：為防止誤操作，清除前一定要做好備份。
（一）、清除灰鴿子的服務(wù)
注意清除灰鴿子的服務(wù)一定要在注冊表里完成，對注冊表不熟悉的網(wǎng)友請找熟悉的人幫忙操作，清除灰鴿子的服務(wù)一定要先備份注冊表，或者到純DOS下將注冊表文件更名，然后在去注冊表刪除灰鴿子的服務(wù)。因為病毒會和EXE文件進(jìn)行關(guān)聯(lián)
2000／XP系統(tǒng)：
1、打開注冊表編輯器（點擊“開始”－》“運行”，輸入“Regedit.exe”，確定。），打開 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注冊表項。
2、點擊菜單“編輯”－》“查找”，“查找目標(biāo)”輸入“game.exe”，點擊確定，我們就可以找到灰鴿子的服務(wù)項（此例為Game_Server，每個人這個服務(wù)項名稱是不同的）?！?
3、刪除整個Game_Server項。
98／me系統(tǒng)：
在9X下，灰鴿子啟動項只有一個，因此清除更為簡單。運行注冊表編輯器，打開HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run項，我們立即看到名為Game.exe的一項，將Game.exe項刪除即可。
（二）、刪除灰鴿子程序文件
刪除灰鴿子程序文件非常簡單，只需要在安全模式下刪除Windows目錄下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件，然后重新啟動計算機。至此，灰鴿子VIP 2005 服務(wù)端已經(jīng)被清除干凈。
以上介紹的方法適用于我們看到的大部分灰鴿子木馬及其變種，然而仍有極少數(shù)變種采用此種方法無法檢測和清除。同時，隨著灰鴿子新版本的不斷推出，作者可能會加入一些新的隱藏方法、防刪除手段，手工檢測和清除它的難度也會越來越大。
四、防止中灰鴿子病毒需要注意的事項
1. 給系統(tǒng)安裝補丁程序。通過Windows Update安裝好系統(tǒng)補丁程序(關(guān)鍵更新、安全更新和Service pack)，其中MS04-011、MS04-012、MS04-013、MS03-001、MS03-007、MS03-049、MS04-032等都被病毒廣泛利用，是非常必要的補丁程序
　　2. 給系統(tǒng)管理員帳戶設(shè)置足夠復(fù)雜足夠強壯的密碼，最好能是10位以上，字母+數(shù)字+其它符號的組合；也可以禁用/刪除一些不使用的帳戶
　　3. 經(jīng)常更新殺毒軟件（病毒庫），設(shè)置允許的可設(shè)置為每天定時自動更新。安裝并合理使用網(wǎng)絡(luò)防火墻軟件，網(wǎng)絡(luò)防火墻在防病毒過程中也可以起到至關(guān)重要的作用，能有效地阻擋自來網(wǎng)絡(luò)的攻擊和病毒的入侵。部分盜版Windows用戶不能正常安裝補丁，這點也比較無奈，這部分用戶不妨通過使用網(wǎng)絡(luò)防火墻來進(jìn)行一定防護(hù)
　　4. 關(guān)閉一些不需要的服務(wù)，條件允許的可關(guān)閉沒有必要的共享，也包括C$、D$等管理共享。完全單機的用戶可直接關(guān)閉Server服務(wù)。這些都可以用winxp總管等優(yōu)化軟件關(guān)閉。
轉(zhuǎn)貼。原貼為Bon Jovi發(fā)表于霏凡病毒救援區(qū)
灰鴿子 Vip 2005 清除器
http://ftpe.ttian.net/2005/07/DelHgzvip2005Server.zip
BlackHole&灰鴿子后門專殺工具 
http://www.cert.org.cn/articles/tools/common/2005051322256.shtml
如果專殺工具沒有發(fā)現(xiàn)灰鴿子，請參考下面方法手工刪除
按照下面指導(dǎo),3步就能徹底刪除系統(tǒng)里的灰鴿子木馬
1. 下載HijackThis掃描系統(tǒng)
下載地址:
http://www.skycn.com/soft/15753.html zww3008漢化版 
http://www.merijn.org/files/hijackthis.zip 英文版
2. 從HijackThis日志的 O23項可以發(fā)現(xiàn)灰鴿子自的服務(wù)項
如最近流行的: 
O23 - Service: SYSTEM$ (SYSTEM$Server) - Unknown owner - C:\WINDOWS\setemy.bat
O23 - Service: Network Connections Manager (NetConMan) - Unknown owner - C:\WINDOWS\uinstall.exe
O23 - Service: winServer - Unknown owner - C:\WINDOWS\winserver.exe
O23 - Service: Gray_Pigeon_Server (GrayPigeonServer) - Unknown owner - C:\WINDOWS\G_Server.exe
用HijackThis選中上面的O23項,然后選擇"修復(fù)該項"或"Fix checked"
3. 用Killbox刪除灰鴿子對應(yīng)的木馬文件 可以從這里下載Killbox
http://yncnc.onlinedown.net/soft/37257.htm
直接把文件的路徑復(fù)制到 Killbox里刪除
通常都是下面這樣的文件 "服務(wù)名"具體通過HijackThis判斷
C:\windows\服務(wù)名.dll
C:\windows\服務(wù)名.exe
C:\windows\服務(wù)名.bat
C:\windows\服務(wù)名key.dll
C:\windows\服務(wù)名_hook.dll
C:\windows\服務(wù)名_hook2.dll
舉例說明:
C:\WINDOWS\setemykey.dll
C:\WINDOWS\setemy.dll
C:\WINDOWS\setemy.exe
C:\WINDOWS\setemy_hook.dll
C:\WINDOWS\setemy_hook2.dll
用Killbox刪除那些木馬文件,由于文件具有隱藏屬性,可能無法直接看到,但Killbox能直接刪除. 上面的文件不一定全部存在,如果Killbox提示文件不存在或已經(jīng)刪除就沒關(guān)系了

最新評論