灰鴿子病毒手工清除方法

[psac]

灰鴿子（Backdoor.Huigezi）作者現在還沒有停止對灰鴿子的開發，再加上有些人為了避開殺毒軟體的查殺故意給灰鴿子加上各種不同的殼，造成現在網路上不斷有新的灰鴿子變種出現。


儘管瑞星公司一直在不遺餘力地收集最新的灰鴿子樣本，但由於變種繁多，還會有一些「漏網之魚」。如果您的機器出現灰鴿子症狀但用瑞星殺毒軟體查不到，那很可能是中了還沒有被截獲的新變種。這個時候，就需要手工殺掉灰鴿子。


手工清除灰鴿子並不難，重要的是我們必須懂得它的執行原理。



灰鴿子的執行原理

灰鴿子木馬分兩部分：客戶端和服務端。

黑客（姑且這麼稱呼吧）操縱著客戶端，利用客戶端組態產生出一個服務端程序。服務端文件的名字預設為G_Server.exe，然後黑客通過各種渠道傳播這個木馬（俗稱種木馬或者開後門）。

種木馬的手段有很多，比如，黑客可以將它與一張圖片綁定，然後假冒成一個羞澀的MM通過QQ把木馬傳給你，誘騙你執行；也可以建立一個個人網頁，誘騙你點擊，利用IE漏洞把木馬下載到你的電腦上並執行；還可以將文件上傳到某個軟體下載站點，冒充成一個有趣的軟體誘騙用戶下載……


G_Server.exe執行後將自己拷貝到Windows目錄下(98/xp下為系統碟的windows目錄，2k/NT下為系統碟的Winnt目錄)，然後再從體內解壓縮G_Server.dll和G_Server_Hook.dll到windows目錄下。


G_Server.exe、G_Server.dll和G_Server_Hook.dll三個文件相互配合組成了灰鴿子服務端，有些灰鴿子會多解壓縮出一個名為G_ServerKey.dll的文件用來記錄鍵盤操作。


注意，G_Server.exe這個名稱並不固定，它是可以設定的，比如當設定服務端檔案名為A.exe時，產生的文件就是A.exe、A.dll和A_Hook.dll。

Windows目錄下的G_Server.exe文件將自己註冊成服務（9X系統寫註冊表啟動項），每次開機都能自動執行，執行後啟動G_Server.dll和G_Server_Hook.dll並自動結束。


G_Server.dll文件實現後門功能，與控制端客戶端進行通信；G_Server_Hook.dll則通過攔截API使用來隱藏病毒。因此，中毒後，我們看不到病毒文件，也看不到病毒註冊的服務項。



隨著灰鴿子服務端文件的設定不同，G_Server_Hook.dll有時候附在Explorer.exe的行程空間中，有時候則是附在所有行程中。


灰鴿子的手工檢測
由於灰鴿子攔截了API使用，在正常模式下木馬程式文件和它註冊的服務項均被隱藏，也就是說你即使設定了「顯示所有隱藏文件」也看不到它們。此外，灰鴿子服務端的檔案名也是可以自訂的，這都給手工檢測帶來了一定的困難。

但是，通過仔細觀察我們發現，對於灰鴿子的檢測仍然是有規律可循的。從上面的執行原理分析可以看出，無論自訂的伺服器端檔案名是什麼，一般都會在操作系統的安裝目錄下產生一個以「_hook.dll」結尾的文件。通過這一點，我們可以較為準確手工檢測出灰鴿子木馬。


由於正常模式下灰鴿子會隱藏自身，因此檢測灰鴿子的操作一定要在安全模式下進行。進入安全模式的方法是：
啟動電腦，在系統進入Windows啟動畫面前，按下F8鍵(或者在啟動電腦時按住Ctrl鍵不放)，在出現的啟動選項表單中，選項「Safe Mode」或「安全模式」。


1、由於灰鴿子的文件本身具有隱藏內容，因此要設定Windows顯示所有文件。開啟「我的電腦」，選項表單「工具」—》「資料夾選項」，點擊「檢視」，取消「隱藏受保護的操作系統檔案」前的對勾，並在「隱藏文件和資料夾」項中選項「顯示所有文件和資料夾」，然後點擊「確定」。


2、開啟Windows的「搜尋文件」，檔案名稱輸入「_hook.dll」，搜尋位置選項Windows的安裝目錄（預設98/xp為C:\windows，2k/NT為C:\Winnt）。

3、經過搜尋，我們在Windows目錄（不包含子目錄）下發現了一個名為Game_Hook.dll的文件。


4、根據灰鴿子原理分析我們知道，如果Game_Hook.DLL是灰鴿子的文件，則在操作系統安裝目錄下還會有Game.exe和Game.dll文件。


開啟Windows目錄，果然有這兩個文件，同時還有一個用於記錄鍵盤操作的GameKey.dll文件。


經過這幾步操作我們基本就可以確定這些文件是灰鴿子木馬了，下面就可以進行手動清除。另外，如果你發現了瑞星殺毒軟體查不到的灰鴿子變種，也歡迎登入瑞星新病毒上報網站（

http://up.rising.com.cn

）上傳樣本。
灰鴿子的手工清除
經過上面的分析，清除灰鴿子就很容易了。清除灰鴿子仍然要在安全模式下操作，主要有兩步：

1、清除灰鴿子的服務；2移除灰鴿子程式文件。


注意：為防止誤操作，清除前一定要做好制作備份。
一、清除灰鴿子的服務

2000XP系統：

1、開啟註冊表編輯器（點擊「開始」－》「執行」，輸入「Regedit.exe」，確定。），開啟 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services註冊表項。

2、點擊表單「編輯」－》「搜尋」，「搜尋目標」輸入「game.exe」，點擊確定，我們就可以找到灰鴿子的服務項（此例為Game_Server）。


3、移除整個Game_Server項。

98me系統：
在9X下，灰鴿子啟動項只有一個，因此清除更為簡單。執行註冊表編輯器，開啟HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run項，我們立即看到名為Game.exe的一項，將Game.exe項移除即可。


二、移除灰鴿子程式文件

移除灰鴿子程式文件非常簡單，只需要在安全模式下移除Windows目錄下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件，然後重新啟動電腦。至此，灰鴿子已經被清除乾淨。



小結

本文指出了一個手工檢測和清除灰鴿子的通用方法，適用於我們看到的大部分灰鴿子木馬及其變種，然而仍有極少數變種採用此種方法無法檢測和清除。


同時，隨著灰鴿子新版本的不斷推出，作者可能會加入一些新的隱藏方法、防移除手段，手工檢測和清除它的難度也會越來越大。



當你確定機器中了灰鴿子木馬而用本文所述的方法又檢測不到時，最好找有經驗的朋友幫忙解決。


同時隨著瑞星殺毒軟體2005版產品發怖，殺毒軟體查殺未知病毒的能力得到了進一步提高。經過瑞星公司研發部門的不斷努力，灰鴿子病毒可以被安全有效地自動清除，需要用戶手動移除它的機會也將越來越少。

[sff]

原來這種的叫灰鴿子喔!!
我都以為叫後門程式ㄌㄟ