[注意]灰鸽子病毒专题！

本帖最后由 悟空の格古洛 于 2016-8-4 10:52 编辑

灰鸽子是国内一款著名后门病毒。比起前辈冰河、黑洞来，灰鸽子可以说是国内后门的集大成者。其丰富而强大的功能、灵活多变的操作、良好的隐藏性使其他后门都相形见绌。客户端简易便捷的操作使刚入门的初学者都能充当黑客。对灰鸽子完整的介绍也许只有灰鸽子作者本人能够说清楚，在此我只能进行简要介绍。 一、灰鸽子的危害超出熊猫烧香10倍 连续三年染指年度十大病毒、被反病毒专家称为最危险的后门程序“灰鸽子”病毒随着“灰鸽子2007”的发布,正在大规模集中爆发,据金山毒霸全球反病毒中心统计,仅3月1日至13日,金山截获的灰鸽子变种数就达到521个.盗号、偷窥、敲诈以及骇人听闻的公开“叫卖”,危害更甚熊猫烧香. 　　金山总裁雷军表示,“灰鸽子已不再是一个单纯的病毒,其背后是一条制造病毒、贩卖病毒、病毒培训为一体的黑色产业链,从某种意义上讲,灰鸽子的危害超出熊猫烧香10倍!” 　　与熊猫烧香的“张扬”不同,灰鸽子更象一个隐形的“贼”,潜伏在用户“家”中,监视用户的一举一动,甚至用户与MSN、QQ好友聊天的每一句话都难逃“贼”眼.如果说熊猫烧香的危害还停留在对电脑自身的破坏,而灰鸽子已经发展到对“人”的控制,而被控者的人却毫不知情. 　　据金山毒霸全球反病毒监测中心数据显示,仅2007年2月,中国约有258235台计算机感染灰鸽子,而同期国内感染病毒的计算机总共才2065873台,也就是说中国每10台感染病毒的计算机中,就有超过一台感染了灰鸽子. 　　据悉,灰鸽子本身并不具备传播性,那么灰鸽子大面积感染的背后到底存在着什么不可告人的秘密呢? 　　据金山反病毒专家介绍,灰鸽子的背后已经形成了一个制造、贩卖、销售病毒的“传销”帝国,而处于这条产业链条最底层的被称为“肉鸡”,一些人利用灰鸽子大量“发展”肉鸡,并通过贩卖肉鸡获取丰厚的经济利益. 　　按一个普通的灰鸽子操控者一个月抓10万台“肉鸡”计算,一个月就能轻松赚取至少1万元,而这还不包括窃取“肉鸡”电脑上的QQ号、游戏帐号、游戏币、银行帐号等进行交易所获得的收入.正是由于灰鸽子背后巨大的经济诱惑,无数人投身其中,乐此不疲地制造、传播灰鸽子. 　　据统计,从百度上搜索的讨论灰鸽子的论坛有数十个之多.其中灰鸽子工作室每天的浏览量大概在12000人;凤凰灰鸽子论坛目前共有会员 33802个,其中最高有1124人同时在线;灰鸽子社区目前共有会员523人;这还没算上其他许多大众社区网站以及对此跃跃欲试的游客或好奇者. 　　灰鸽子的黑色产业链条正在逐步形成,网络公开叫卖的行为已经严重违反了国家法律,如果任其发展下去后果不堪设想. 　　有法律专家指出,中国的互联网立法比国外相对落后.《计算机信息网络国际联网安全保护管理办法》中规定制造和传播病毒是违法的,但是对于木马、黑客程序、“流氓软件”等并没有清晰的界定.这也是灰鸽子制造者敢于利用网络公开叫卖的根本原因. 　　如果一个正常的软件,一旦被反病毒产品判定为病毒,其开发者会第一时间要求反病毒公司修正其错误.而灰鸽子的作者从来没有,并不断推陈出新,同全球反病毒产品持续对抗达5年之久,丝毫没有放弃的迹象,这极其不寻常.金山作为国内最著名的网络信息安全厂商,动用了大量的人力物力,将全面围剿以“灰鸽子”为首的恶性木马病毒.金山并将时刻监控其发展动态. 二、灰鸽子病毒手工清除方法 灰鸽子（Backdoor.Huigezi）作者现在还没有停止对灰鸽子的开发，再加上有些人为了避开杀毒软件的查杀故意给灰鸽子加上各种不同的壳，造成现在网络上不断有新的灰鸽子变种出现。尽管瑞星公司一直在不遗余力地收集最新的灰鸽子样本，但由于变种繁多，还会有一些“漏网之鱼”。如果您的机器出现灰鸽子症状但用瑞星杀毒软件查不到，那很可能是中了还没有被截获的新变种。这个时候，就需要手工杀掉灰鸽子。 手工清除灰鸽子并不难，重要的是我们必须懂得它的运行原理。 灰鸽子的运行原理 灰鸽子木马分两部分：客户端和服务端。黑客（姑且这么称呼吧）操纵着客户端，利用客户端配置生成出一个服务端程序。服务端文件的名字默认为G_Server.exe，然后黑客通过各种渠道传播这个木马（俗称种木马或者开后门）。种木马的手段有很多，比如，黑客可以将它与一张图片绑定，然后假冒成一个羞涩的MM通过QQ把木马传给你，诱骗你运行；也可以建立一个个人网页，诱骗你点击，利用IE漏洞把木马下载到你的机器上并运行；还可以将文件上传到某个软件下载站点，冒充成一个有趣的软件诱骗用户下载…… G_Server.exe运行后将自己拷贝到Windows目录下(98/xp下为系统盘的windows目录，2k/NT下为系统盘的Winnt目录)，然后再从体内释放G_Server.dll和G_Server_Hook.dll到windows目录下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端，有些灰鸽子会多释放出一个名为G_ServerKey.dll的文件用来记录键盘操作。注意，G_Server.exe这个名称并不固定，它是可以定制的，比如当定制服务端文件名为A.exe时，生成的文件就是A.exe、A.dll和A_Hook.dll。 Windows目录下的G_Server.exe文件将自己注册成服务（9X系统写注册表启动项），每次开机都能自动运行，运行后启动G_Server.dll和G_Server_Hook.dll并自动退出。G_Server.dll文件实现后门功能，与控制端客户端进行通信；G_Server_Hook.dll则通过拦截API调用来隐藏病毒。因此，中毒后，我们看不到病毒文件，也看不到 灰鸽子（Backdoor.Huigezi）作者现在还没有停止对灰鸽子的开发，再加上有些人为了避开杀毒软件的查杀故意给灰鸽子加上各种不同的壳，造成现在网络上不断有新的灰鸽子变种出现。尽管瑞星公司一直在不遗余力地收集最新的灰鸽子样本，但由于变种繁多，还会有一些“漏网之鱼”。如果您的机器出现灰鸽子症状但用瑞星杀毒软件查不到，那很可能是中了还没有被截获的新变种。这个时候，就需要手工杀掉灰鸽子。 手工清除灰鸽子并不难，重要的是我们必须懂得它的运行原理。 灰鸽子的运行原理 灰鸽子木马分两部分：客户端和服务端。黑客（姑且这么称呼吧）操纵着客户端，利用客户端配置生成出一个服务端程序。服务端文件的名字默认为G_Server.exe，然后黑客通过各种渠道传播这个木马（俗称种木马或者开后门）。种木马的手段有很多，比如，黑客可以将它与一张图片绑定，然后假冒成一个羞涩的MM通过QQ把木马传给你，诱骗你运行；也可以建立一个个人网页，诱骗你点击，利用IE漏洞把木马下载到你的机器上并运行；还可以将文件上传到某个软件下载站点，冒充成一个有趣的软件诱骗用户下载…… G_Server.exe运行后将自己拷贝到Windows目录下(98/xp下为系统盘的windows目录，2k/NT下为系统盘的Winnt目录)，然后再从体内释放G_Server.dll和G_Server_Hook.dll到windows目录下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端，有些灰鸽子会多释放出一个名为G_ServerKey.dll的文件用来记录键盘操作。注意，G_Server.exe这个名称并不固定，它是可以定制的，比如当定制服务端文件名为A.exe时，生成的文件就是A.exe、A.dll和A_Hook.dll。 Windows目录下的G_Server.exe文件将自己注册成服务（9X系统写注册表启动项），每次开机都能自动运行，运行后启动G_Server.dll和G_Server_Hook.dll并自动退出。G_Server.dll文件实现后门功能，与控制端客户端进行通信；G_Server_Hook.dll则通过拦截API调用来隐藏病毒。因此，中毒后，我们看不到病毒文件，也看不到病毒注册的服务项。随着灰鸽子服务端文件的设置不同，G_Server_Hook.dll有时候附在Explorer.exe的进程空间中，有时候则是附在所有进程中。 灰鸽子的手工检测 由于灰鸽子拦截了API调用，在正常模式下木马程序文件和它注册的服务项均被隐藏，也就是说你即使设置了“显示所有隐藏文件”也看不到它们。此外，灰鸽子服务端的文件名也是可以自定义的，这都给手工检测带来了一定的困难。 但是，通过仔细观察我们发现，对于灰鸽子的检测仍然是有规律可循的。从上面的运行原理分析可以看出，无论自定义的服务器端文件名是什么，一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点，我们可以较为准确手工检测出灰鸽子木马。 由于正常模式下灰鸽子会隐藏自身，因此检测灰鸽子的操作一定要在安全模式下进行。进入安全模式的方法是：启动计算机，在系统进入Windows启动画面前，按下F8键(或者在启动计算机时按住Ctrl键不放)，在出现的启动选项菜单中，选择“Safe Mode”或“安全模式”。 1、由于灰鸽子的文件本身具有隐藏属性，因此要设置Windows显示所有文件。打开“我的电脑”，选择菜单“工具”—》“文件夹选项”，点击“查看”，取消“隐藏受保护的操作系统文件”前的对勾，并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”，然后点击“确定”。 三、如何杀灰鸽子病毒后门 灰鸽子2006病毒的特点是：1、运行后，病毒进程插入所有当前正在运行的进程中；2、隐藏病毒自身进程；3、隐藏病毒文件；4、将自身注册为系统服务，实现启动加载。因此，染毒后很难在WINDOWS下将病毒杀净。 如果机器运行缓慢可能就是中了灰鸽子后门病毒的症状 首先可以利用灰鸽子后门专杀工具 对后门程序进行查杀 手工查杀灰鸽子2006的关键一步是找到病毒注册的系统服务名，将其从注册表HKEY_LOCAL_MACHINE\ SYSTEM \ CURRENTCONTROLSET \ SERVICES分支中删除。然而，由于黑客配置灰鸽子病毒2006服务端时命名的系统服务名五花八门，没有一定规律可循，因而使不少人中招后难以下手清除病毒。 其实，灰鸽子2006有一个弱点，可供手工杀毒时利用。这个弱点就是——用HijackThis1.99.1扫系统日志，O23项可以显示灰鸽子 后门 注册的系统服务名（例：WindowsPowerServer）和可执行文件名（例： D:\WINDOWS\spoolvs.exe）。（注：NT系统的HiajckThis日志中才有O23项；WIN98等非NT系统不可能有此项。） 因此，建议因感染病毒灰鸽子2006后门特征的发帖求助的网友按以下步骤操作： 1、用HijackThis1.99.1（本帖附件中的一个小工具）扫系统日志，在O23项中寻找灰鸽子2006注册的系统服务名（例：WindowsPowerServer）。如果自己看不懂HijackThis日志，可以将日志贴在帖子中，请别人帮助辨认。 2、确认灰鸽子2006注册的系统服务名后，打开注册表编辑器，定位到HKEY_LOCAL_MACHINE\ SYSTEM \ CURRENTCONTROLSET \ SERVICES分支，删除左栏中的病毒服务名（例： WindowsPowerServer）。 3、重启系统，在“文件夹选项”的“查看”面板中勾选“显示系统文件”、“显示所有的文件和文件夹”两项，点击“确定”按钮。然后在%windows%下寻找病毒文件名（例： D:\WINDOWS\spoolvs.exe），找到后删除之。需要注意的是：灰鸽子2006生成的病毒文件为一组，3－4个。病毒文件命名有一定规律，即：X.exe、X.dll、X_hook.dll以及XKey.dll，其中“X”指病毒文件名的可变部分。例如，你的系统感染灰鸽子2006后，在HijackThis1.99.1日志中看到“O23 - Service: RSVPS (QoS RSVPS) - Unknown owner - D:\WINDOWS\spoolvs.exe”这样的信息，那么，这个日志提示：这个灰鸽子2005服务端注册的系统服务名是“ RSVPS ”；生成的病毒文件是spoolvs.exe、spoolvs.dll、spoolvs_hook.dll，可能还有一个spoolvsKey.dll。这一组3－4个病毒文件位于D:\WINDOWS\文件夹中。 附：HijackThis日志中见到的灰鸽子2006注册的系统服务名与病毒文件名（供手工杀毒参考） 587 Ο Ο