扫除难缠的灰鸽子
网络安全
扫黑尖兵:黎明
所在城市:大连
使用系统:Windows XP SP2
情况描述:开机后病毒防火墙提示“内存中发现木马病毒,已清除”。既然已清除,应该没问题了,谁知下一次启动电脑,病毒防火墙再次提示“内存中发现木马病毒,已清除”。我启动杀毒软件,把硬盘整个扫描一遍后,竟然提示没有发现病毒。
我的杀毒软件是通过在线实时升级的,目前是最新版本,看来杀毒软件对付不了它。通过查看病毒防火墙日志,显示为“Iexplore.exe>>c:\program files\Internet Exploer\Iexplore.exe->backdoor.Gpigeon.snl”。这不就是大名鼎鼎的灰鸽子木马病毒吗?灰鸽子以其操作的便捷和功能的强大,不易被查除且变种诸多等原因,而在网络上广为流传。于是请来了灰鸽子后门专杀工具,竟然杀不掉,又请来木马清道夫,也不行。然后使用QQ木马专杀和反间谍专家均不能解决问题。
搜索特定文件无头绪
灰鸽子无论自定义的服务器端文件名是什么,一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模式下进行。又由于灰鸽子的文件本身具有隐藏属性,因此要设置Windows显示所有文件,然后打开Windows的“搜索”,文件名称输入“_hook.dll”,搜索位置选择Windows的安装目录。
经过搜索,却没有发现以“_hook.dll”结尾的文件。于是把搜索范围扩大到整个C盘,只搜索到一个mag_hook.dll的文件,路径为c:\windows\system32,而这个文件是系统所必需的。况且如果mag_hook.dll是病毒文件的话,还应该有相应的mag.exe、mag.dll文件和用于记录键盘操作的magKey.dll文件,但这些都没有。
既然找不到病毒文件,也就没法在注册表中找到相应的服务项。在注册表HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Run项中,也没有多余的启动项。这下我傻眼了,难道遇到高人了?
发现疑点顺藤摸瓜
就这样又过去了好几天,每次坐到电脑前,总感到有一双偷窥的眼睛,令我如坐针毡。于是一有时间就在网上游荡,希望能有所收获。有一天我发现了一个可疑文件扫描工具,抱着试试看的心理,用它对C盘文件进行了扫描,程序列出了三个可疑文件,自己比较了一下,感觉c:\windows\sever2.0.exe这个文件比较可疑,接下来就是对它进行认定。
先查看病毒防火墙日志,由于这几天我对电脑已经进行了几次启动,每启动一次,日志对发现病毒情况就记录一次,所以在日志里有一长串的病毒记录。突然发现有一条记录是“Sever2.0.exe>>c:\windows\Sever2.0.exe->backdoor.gpigeon.stz”,除此之外,其他记录全是“Iexplore.exe>>c:\program files\Internet Exploer\Iexplore.exe->backdoor.Gpigeon.snl”,于是注意到这个重要的线索。
接下来在注册表中搜索“Sever2.0”,在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项中有一项“GraypigeonSever20”,打开此项,其中“Description”键的数据项中赫然写着“灰鸽子服务端程序,远程监控管理”,“Imagepath”键的数据项中写着“c:\windows\Sever2.0.exe”,这下算是验明正身,接下来就要“行刑”了。
先删除Windows目录中的Sever2.0.exe,再删除注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项中的GraypigeonSever20项(都不用在安全模式下)。然后重启电脑,病毒防火墙再也不提示发现病毒了,直到这时我才长长地出了一口气,想起了一句名言:“小样,穿上马夹我就不认识你了?”
灰鸽子的作者对于如何逃过杀毒软件的查杀花了很大力气,所以很多杀毒软件能够将它查出来,但是杀不掉该病毒。杀毒软件查出来的只是灰鸽子病毒释放出来的一些文件,而病毒真正的源头文件并没有被找到,由此出现屡杀不绝的情况。
黎明朋友使用了正确的工具,从可疑文件和可疑服务入手,顺藤摸瓜最终验明正身,最终扫除难缠的木马文件。阿良在这里向各位读者朋友再提供一个解决灰鸽子的简单方法。就是到灰鸽子官方网站(http://www.huigezi.net)下载灰鸽子服务端清除工具清除灰鸽子木马。这款软件是灰鸽子工作室针对目前流行的灰鸽子木马而制作的专杀工具。使用它也许可以很轻易地就解决灰鸽子木马问题。