軟體 - 這個馬兒太厲害！淺析灰鴿子的防範與清除

psac · 2006-07-28, 04:04 PM

這個馬兒太厲害！淺析灰鴿子的防範與清除
　偶爾得到了一款灰鴿子2.02 VIP版，試用了半天竟然控制了20多台目標物，看著這些目標物任由宰割，筆者異常興奮，不僅由衷地感歎道——這個馬兒太厲害！
一、厲害之處
　　⒈馬兒健壯
　　主流的殺毒軟體竟然無法查殺灰鴿子。筆者使用的是國內某知名殺毒軟體的最新版，不論是灰鴿子的服務端程序還是客戶端程序，這個殺毒軟體均不報警。用灰鴿子的螢幕捕獲功能發現，被控制的20多台目標物絕大多數都執行著殺毒軟體，這些殺毒軟體基本上囊括了國內以及國際上主流的殺毒軟體。筆者給一個被控制的目標物發了一個文本消息，嚇得他用殺毒軟體和包括木馬剋星在內的各種殺馬軟體掃瞄電腦，然而遺憾的是，直到現在筆者還用灰鴿子控制著他。
　　⒉連接阜反彈，天網防火牆形同虛設
　　筆者的電腦上安裝了最新版本的天網防火牆，在玩灰鴿子的程序中，一不小心，筆者在自己的電腦上執行了灰鴿子的服務端程序，然而，天網防火牆卻沒有任何報警。
　　天網防火牆對本機應用程式訪問網路的請求管理的不是太嚴格，而且對已信任的程序訪問網路的連接不做任何報警。灰鴿子是一款反彈連接阜的木馬，和傳統的木馬不一樣的是它不監聽一個連接阜等待客戶端來連接自己，而是自己以IE瀏覽器的身份主動去連接客戶端，而IE瀏覽器是天網防火牆預設值的已信任程序，所以灰鴿子能夠輕易「穿透」天網防火牆。因為灰鴿子是以IE瀏覽器的身份去訪問網路的，而任何防火牆都不會限制IE瀏覽器瀏覽網頁，所以從理論上來講，灰鴿子能「穿透」任何防火牆，這一點，鄙人通過已控制的20多台目標物得到了證實。
　　連接阜反彈木馬的工作原理：在傳輸層，和傳統的木馬恰恰相反，被控端（服務端）執行客戶端的指令，但它不監聽一個連接阜，而是主動去連接客戶端；客戶端給服務端下達指令，但它不主動去連接服務端，而是開一個連接阜監聽服務端的連接。
　　⒊反向連接，被控制電腦「自動上線」
　　灰鴿子是反向連接的木馬，也就是說，被控制電腦會主動連接控制端電腦。冰河、BO 2000這些傳統的木馬要連接被控端電腦必須告知客戶端被控電腦的IP位址和連接阜等訊息，而灰鴿子則不同，灰鴿子的客戶端啟動後，被控制電腦會爭先連線到客戶端，灰鴿子使用了語音提示的功能，當一台被控制的電腦連線到客戶端後，一個標準的女中音會提示：有主機上線，請注意！聽著這一聲聲提示，看著被控制的電腦自動地紛紛出現在「自動上線的主機」列表中（如圖1），筆者在想：馬兒實在是太可怕了！

http://bbs.crsky.com/1128632305/Mon_0607/22_95137_cd96986c3a051bd.jpg

⒋客戶端程序，能夠自訂服務端。
　　灰鴿子的服務端安裝程序由客戶端根據自訂設定自動產生。能夠自訂的項目包括：服務端安裝成功後是否移除安裝程序；是否在工作管理器中隱藏工作；是否在註冊表中加入啟動鍵項。
　　另外，在Windows 2000/XP的系統中還可以選項安裝成自動啟動的服務，服務名稱（包括服務的顯示名稱）可以修改，安裝程序的圖示也可以選項（自訂服務端是灰鴿子比較重要的特點，在下文中，對它自訂的項目還會提及）。

http://bbs.crsky.com/1128632305/Mon_0607/22_95137_5bd6e241e9ef01b.jpg

圖2 誘惑下掩藏著危險
　　如圖2所顯示，這是筆者自訂的灰鴿子服務端的安裝程序，從表面上看，它就是一本「e書時空」的電子書，但實際上，只要雙按了它，您即可在筆者的「自動上線」裡而被控制。筆者把這一電子書共享在一個P2P軟體中，不到一個下午的功夫，「自動上線」的主機竟然達到了25台之多。
　　⒌集大成者，良好的隱藏性使其他後門相形見絀。
　　比起前輩冰河、黑洞等，從功能上來說，灰鴿子可以說是國內木馬的集大成者，大部分木馬使用的控制功能它都具備：
　　1)模枋Windows檔案總管，可以對被控制電腦上的文件進行複製、貼上、移除、重新命名、遠端執行等,可以上傳下載文件或資料夾,操作簡單易用；
　　2)可以檢視被控制電腦的系統資訊、剪下板上的訊息等；可以遠端操作被控制電腦的工作、服務；可以遠端禁用被控制電腦的共享和新增新的共享，還可以把被控制電腦設定為一台代理伺服器；
　　3)不但可以連繼的捕獲遠端電腦螢幕，還能把本機的滑鼠及鍵盤操作傳送到被控制電腦，實現遠端既時控制功能；
　　4)可以監控被控電腦上的攝像頭,還有語音監聽和傳送功能，可以和被控電腦進行語音對話。
　　5)灰鴿子還能模擬註冊表編輯器，操作遠端註冊表就像操作本機註冊表一樣方便；
　　6)指令廣播，如關機、重新啟動或開啟網頁等，這樣按下一個按鈕就可以讓多台機器同時關機、重新啟動或開啟網頁等。
　　灰鴿子除了以上的功能外，它的隱藏性和自我保護也是其它木馬不可比擬的。它的文件是隱藏的，工作也是隱藏的，您在工作管理器中也找不到它的蹤跡。
　　朋友們，經過上面的介紹，您是否也和筆者一樣感覺到了灰鴿子的厲害之處。雖然殺毒軟體和防火牆拿它沒辦法，但電腦還是要用的，網還是要上的，文件還是要下載的。不要害怕，下面，就一起來發現它並剷除它。
二、發現灰鴿子
　　從目前的狀況來說，基本上所有的殺毒軟體都不能即時查殺灰鴿子，而灰鴿子又文件隱藏，工作隱藏，唯一能夠被看到的是它在Windows「服務」視窗中的服務，但是他的服務名稱，服務的顯示名稱黑客又都可以自訂。如圖3所顯示，這是灰鴿子筆者誤安裝在自己電腦上的服務名稱，不論是灰鴿子的檔案名（檔案名黑客也可以自訂），還是服務名稱或者是該服務的描述，都非常具有迷惑性，對不熟悉Windows服務的一般用戶來說，像這樣的服務，豈敢禁用或移除。所以說，用一般的方法根本無法確定灰鴿子的存在。

http://bbs.crsky.com/1128632305/Mon_0607/22_95137_04ecfb1ece82106.jpg

圖3 自訂的灰鴿子工作服務
　　那麼怎樣才能發現灰鴿子呢？下面是筆者的經驗：
　　⒈根據筆者的經驗，目前能夠發現灰鴿子行之有效的辦法還是使用天網防火牆。天網防火雖然不能攔截灰鴿子和外部的通信，但是天網防火牆能夠顯示本地機與外部通信的所有連接。IE瀏覽器與伺服器的80連接阜通訊，只有當您開啟一個網頁時，它才會與眾多伺服器連接以顯示網頁上的資源，而灰鴿子服務端則不同，不論您訪問網頁還是不訪問網頁，只要黑客啟動了客戶端並監聽一個連接阜（這個連接阜黑客也能自訂，預設值的監聽連接阜是8000），它就總以IE瀏覽器的身份主動連線到這個連接阜（如果客戶端沒有啟動，它會每隔一段時間嘗試連接一次）。所以說，如果您沒有使用IE瀏覽網頁，而您的IE瀏覽器有長時間連線到同一個主機的某一連接阜（如圖4），那麼就可以初步斷定，發起這些連接的絕對不是IE瀏覽器，十有八九它就是灰鴿子。

http://bbs.crsky.com/1128632305/Mon_0607/22_95137_0a433822b88d395.jpg

⒉灰鴿子是用一個自動啟動的服務在開機時載入的，但是該服務與其它自動啟動的服務不同，其它自動啟動的服務，它的服務狀態一般都是「已啟動」，但灰鴿子不同，它的服務狀態卻是「已停止」。如果根據天網防火牆你能初步斷定自己可能中了灰鴿子，而且您的電腦中也存在這樣的服務，那麼現在就可以確定，這個服務就是灰鴿子註冊的。
　　提示：在Windows的「服務」視窗中絕大多數服務項目都是Windows原有的的，而且這些服務項目都已得到了微軟的認證。現在，好多木馬都是通過一個自動啟動的服務載入的，但這些服務項目大都沒有得到微軟的認證。今天，給大家推薦一個工具——Autoruns，該工具能夠掃瞄出系統中所有沒有得到微軟認證的服務，如圖5所顯示，誤安裝在自己系統中的灰鴿子豁然在目。

http://bbs.crsky.com/1128632305/Mon_0607/22_95137_ce7e44646f51f64.jpg

圖5 灰鴿子的啟動項
三、清除灰鴿子
　　確定了您的電腦被植入了灰鴿子以後，就可以清除它了。開啟Windows的「服務」視窗，雙按灰鴿子的服務名稱開啟其內容對話視窗，在該對話視窗的「可執行文件路徑」文本項中您能看到灰鴿子的檔案名和該檔案的路徑，記下這個檔案名和路徑，然後在「啟動檔案類型」中選項「已禁用」，最後按下「確定」並重新啟動電腦。
　　重新啟動電腦以後，灰鴿子已不能自動載入了，接下來，就可以根據上面記下的檔案名和路徑移除灰鴿子的文件了。需要說明的是，灰鴿子（灰鴿子的安裝程序就是服務端程序，安裝時，他會把自己複製到事先定義好的目錄中，複製完成後，根據自訂的設定，有時還會移除安裝程序以便「焚屍滅跡」）的那個文件是「隱藏」內容，移除時您可能找不到。在檔案總管中選項「工具→資料夾選項」開啟「資料夾選項」對話視窗，清除「隱藏受保護的作業系統文件」複選項中的小鉤（如圖6），最後按下確定，現在，您就可以看到灰鴿子的那個文件了。

http://bbs.crsky.com/1128632305/Mon_0607/22_95137_9ecb1928767e925.jpg

圖6 選項此項以檢視隱藏文件
　　把灰鴿子的文件移除後，還需要做個收尾工作，也就是徹底移除Windows「服務」視窗中灰鴿子的服務項目。這個項目被註冊在註冊表中，只要在註冊表中移除了相應的主鍵，就可心從「服務」視窗中徹底移除它。開啟註冊表編輯器，在主鍵[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]下您會找到一個以灰鴿子服務名稱（不是服務的顯示名稱）命名的子鍵，移除該子鍵，重新啟動電腦，至此，整個灰鴿子就從您的電腦中完全剷除了。

2006-07-28, 04:04 PM	#1
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	軟體 - 這個馬兒太厲害！淺析灰鴿子的防範與清除這個馬兒太厲害！淺析灰鴿子的防範與清除　偶爾得到了一款灰鴿子2.02 VIP版，試用了半天竟然控制了20多台目標物，看著這些目標物任由宰割，筆者異常興奮，不僅由衷地感歎道——這個馬兒太厲害！一、厲害之處　　⒈馬兒健壯　　主流的殺毒軟體竟然無法查殺灰鴿子。筆者使用的是國內某知名殺毒軟體的最新版，不論是灰鴿子的服務端程序還是客戶端程序，這個殺毒軟體均不報警。用灰鴿子的螢幕捕獲功能發現，被控制的20多台目標物絕大多數都執行著殺毒軟體，這些殺毒軟體基本上囊括了國內以及國際上主流的殺毒軟體。筆者給一個被控制的目標物發了一個文本消息，嚇得他用殺毒軟體和包括木馬剋星在內的各種殺馬軟體掃瞄電腦，然而遺憾的是，直到現在筆者還用灰鴿子控制著他。　　⒉連接阜反彈，天網防火牆形同虛設　　筆者的電腦上安裝了最新版本的天網防火牆，在玩灰鴿子的程序中，一不小心，筆者在自己的電腦上執行了灰鴿子的服務端程序，然而，天網防火牆卻沒有任何報警。　　天網防火牆對本機應用程式訪問網路的請求管理的不是太嚴格，而且對已信任的程序訪問網路的連接不做任何報警。灰鴿子是一款反彈連接阜的木馬，和傳統的木馬不一樣的是它不監聽一個連接阜等待客戶端來連接自己，而是自己以IE瀏覽器的身份主動去連接客戶端，而IE瀏覽器是天網防火牆預設值的已信任程序，所以灰鴿子能夠輕易「穿透」天網防火牆。因為灰鴿子是以IE瀏覽器的身份去訪問網路的，而任何防火牆都不會限制IE瀏覽器瀏覽網頁，所以從理論上來講，灰鴿子能「穿透」任何防火牆，這一點，鄙人通過已控制的20多台目標物得到了證實。　　連接阜反彈木馬的工作原理：在傳輸層，和傳統的木馬恰恰相反，被控端（服務端）執行客戶端的指令，但它不監聽一個連接阜，而是主動去連接客戶端；客戶端給服務端下達指令，但它不主動去連接服務端，而是開一個連接阜監聽服務端的連接。　　⒊反向連接，被控制電腦「自動上線」　　灰鴿子是反向連接的木馬，也就是說，被控制電腦會主動連接控制端電腦。冰河、BO 2000這些傳統的木馬要連接被控端電腦必須告知客戶端被控電腦的IP位址和連接阜等訊息，而灰鴿子則不同，灰鴿子的客戶端啟動後，被控制電腦會爭先連線到客戶端，灰鴿子使用了語音提示的功能，當一台被控制的電腦連線到客戶端後，一個標準的女中音會提示：有主機上線，請注意！聽著這一聲聲提示，看著被控制的電腦自動地紛紛出現在「自動上線的主機」列表中（如圖1），筆者在想：馬兒實在是太可怕了！ ⒋客戶端程序，能夠自訂服務端。　　灰鴿子的服務端安裝程序由客戶端根據自訂設定自動產生。能夠自訂的項目包括：服務端安裝成功後是否移除安裝程序；是否在工作管理器中隱藏工作；是否在註冊表中加入啟動鍵項。　　另外，在Windows 2000/XP的系統中還可以選項安裝成自動啟動的服務，服務名稱（包括服務的顯示名稱）可以修改，安裝程序的圖示也可以選項（自訂服務端是灰鴿子比較重要的特點，在下文中，對它自訂的項目還會提及）。圖2 誘惑下掩藏著危險　　如圖2所顯示，這是筆者自訂的灰鴿子服務端的安裝程序，從表面上看，它就是一本「e書時空」的電子書，但實際上，只要雙按了它，您即可在筆者的「自動上線」裡而被控制。筆者把這一電子書共享在一個P2P軟體中，不到一個下午的功夫，「自動上線」的主機竟然達到了25台之多。　　⒌集大成者，良好的隱藏性使其他後門相形見絀。　　比起前輩冰河、黑洞等，從功能上來說，灰鴿子可以說是國內木馬的集大成者，大部分木馬使用的控制功能它都具備：　　1)模枋Windows檔案總管，可以對被控制電腦上的文件進行複製、貼上、移除、重新命名、遠端執行等,可以上傳下載文件或資料夾,操作簡單易用；　　2)可以檢視被控制電腦的系統資訊、剪下板上的訊息等；可以遠端操作被控制電腦的工作、服務；可以遠端禁用被控制電腦的共享和新增新的共享，還可以把被控制電腦設定為一台代理伺服器；　　3)不但可以連繼的捕獲遠端電腦螢幕，還能把本機的滑鼠及鍵盤操作傳送到被控制電腦，實現遠端既時控制功能；　　4)可以監控被控電腦上的攝像頭,還有語音監聽和傳送功能，可以和被控電腦進行語音對話。　　5)灰鴿子還能模擬註冊表編輯器，操作遠端註冊表就像操作本機註冊表一樣方便；　　6)指令廣播，如關機、重新啟動或開啟網頁等，這樣按下一個按鈕就可以讓多台機器同時關機、重新啟動或開啟網頁等。　　灰鴿子除了以上的功能外，它的隱藏性和自我保護也是其它木馬不可比擬的。它的文件是隱藏的，工作也是隱藏的，您在工作管理器中也找不到它的蹤跡。　　朋友們，經過上面的介紹，您是否也和筆者一樣感覺到了灰鴿子的厲害之處。雖然殺毒軟體和防火牆拿它沒辦法，但電腦還是要用的，網還是要上的，文件還是要下載的。不要害怕，下面，就一起來發現它並剷除它。二、發現灰鴿子　　從目前的狀況來說，基本上所有的殺毒軟體都不能即時查殺灰鴿子，而灰鴿子又文件隱藏，工作隱藏，唯一能夠被看到的是它在Windows「服務」視窗中的服務，但是他的服務名稱，服務的顯示名稱黑客又都可以自訂。如圖3所顯示，這是灰鴿子筆者誤安裝在自己電腦上的服務名稱，不論是灰鴿子的檔案名（檔案名黑客也可以自訂），還是服務名稱或者是該服務的描述，都非常具有迷惑性，對不熟悉Windows服務的一般用戶來說，像這樣的服務，豈敢禁用或移除。所以說，用一般的方法根本無法確定灰鴿子的存在。圖3 自訂的灰鴿子工作服務　　那麼怎樣才能發現灰鴿子呢？下面是筆者的經驗：　　⒈根據筆者的經驗，目前能夠發現灰鴿子行之有效的辦法還是使用天網防火牆。天網防火雖然不能攔截灰鴿子和外部的通信，但是天網防火牆能夠顯示本地機與外部通信的所有連接。IE瀏覽器與伺服器的80連接阜通訊，只有當您開啟一個網頁時，它才會與眾多伺服器連接以顯示網頁上的資源，而灰鴿子服務端則不同，不論您訪問網頁還是不訪問網頁，只要黑客啟動了客戶端並監聽一個連接阜（這個連接阜黑客也能自訂，預設值的監聽連接阜是8000），它就總以IE瀏覽器的身份主動連線到這個連接阜（如果客戶端沒有啟動，它會每隔一段時間嘗試連接一次）。所以說，如果您沒有使用IE瀏覽網頁，而您的IE瀏覽器有長時間連線到同一個主機的某一連接阜（如圖4），那麼就可以初步斷定，發起這些連接的絕對不是IE瀏覽器，十有八九它就是灰鴿子。 ⒉灰鴿子是用一個自動啟動的服務在開機時載入的，但是該服務與其它自動啟動的服務不同，其它自動啟動的服務，它的服務狀態一般都是「已啟動」，但灰鴿子不同，它的服務狀態卻是「已停止」。如果根據天網防火牆你能初步斷定自己可能中了灰鴿子，而且您的電腦中也存在這樣的服務，那麼現在就可以確定，這個服務就是灰鴿子註冊的。　　提示：在Windows的「服務」視窗中絕大多數服務項目都是Windows原有的的，而且這些服務項目都已得到了微軟的認證。現在，好多木馬都是通過一個自動啟動的服務載入的，但這些服務項目大都沒有得到微軟的認證。今天，給大家推薦一個工具——Autoruns，該工具能夠掃瞄出系統中所有沒有得到微軟認證的服務，如圖5所顯示，誤安裝在自己系統中的灰鴿子豁然在目。圖5 灰鴿子的啟動項三、清除灰鴿子　　確定了您的電腦被植入了灰鴿子以後，就可以清除它了。開啟Windows的「服務」視窗，雙按灰鴿子的服務名稱開啟其內容對話視窗，在該對話視窗的「可執行文件路徑」文本項中您能看到灰鴿子的檔案名和該檔案的路徑，記下這個檔案名和路徑，然後在「啟動檔案類型」中選項「已禁用」，最後按下「確定」並重新啟動電腦。　　重新啟動電腦以後，灰鴿子已不能自動載入了，接下來，就可以根據上面記下的檔案名和路徑移除灰鴿子的文件了。需要說明的是，灰鴿子（灰鴿子的安裝程序就是服務端程序，安裝時，他會把自己複製到事先定義好的目錄中，複製完成後，根據自訂的設定，有時還會移除安裝程序以便「焚屍滅跡」）的那個文件是「隱藏」內容，移除時您可能找不到。在檔案總管中選項「工具→資料夾選項」開啟「資料夾選項」對話視窗，清除「隱藏受保護的作業系統文件」複選項中的小鉤（如圖6），最後按下確定，現在，您就可以看到灰鴿子的那個文件了。圖6 選項此項以檢視隱藏文件　　把灰鴿子的文件移除後，還需要做個收尾工作，也就是徹底移除Windows「服務」視窗中灰鴿子的服務項目。這個項目被註冊在註冊表中，只要在註冊表中移除了相應的主鍵，就可心從「服務」視窗中徹底移除它。開啟註冊表編輯器，在主鍵[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]下您會找到一個以灰鴿子服務名稱（不是服務的顯示名稱）命名的子鍵，移除該子鍵，重新啟動電腦，至此，整個灰鴿子就從您的電腦中完全剷除了。
	__________________
	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次

Google 提供的廣告