不知道大家知不知道在黑客圈中大名鼎鼎的灰鸽子曾导致金山公司等的集体围剿,口诛笔伐法律诉讼,所以灰鸽子工作室不得不宣布停止开发。当然在没有澄清事实的同时,灰鸽子的作者也发布了一个专用的清除工具,以帮助无辜用户清除电脑中的灰鸽子。但对我们这些用惯了灰鸽子的黑客初学者们来说,灰鸽子停止开发,对于我们来说并不是一个特别好的消息。当然谁也不愿意让自己电脑中灰鸽子,但是当鸽子真正要消失的时候,心里肯定会有些许的失落。
“灰鸽子服务端卸载程序”是由灰鸽子工作室开发的一款灰鸽子木马卸载程序,因为是官方开发的,所以其查杀效果当然不用说!灰鸽子服务端卸载程序,适用各版本的灰鸽子木马,支持包括vip2005/2006/2007而且其他版本的服务端程序的检测和卸载。
虽然是卸载程序,但是在下载灰鸽子服务端卸载程序时,杀毒软件也会报警。在我的电脑上,江明kv2007提示下载的灰鸽子服务端卸载程序中有灰鸽子2007病毒。估计应该是在卸载程序中包含一些检测病毒样本之类的吧!那我们就不用管它,运行灰鸽子服务端卸载程序后,我们可以看到程序完全是vista风格的很漂亮。
点击界面中的开始检测按钮,就可以可以开始检测系统中是否中了灰鸽子,检测到系统中有灰鸽子服务端和进程时,就会自动结束进程,并且删除服务端进行清除。清除完毕后会提示需要重启系统。
其实官方的灰鸽子清除工具对付常用的灰鸽子服务端当然是很好用的,不过灰鸽子的流传实在是太广了,各种灰鸽子变种也是层出不穷,有的灰鸽子变种,就算使用官方的清除工具也可能无法检测清除。这个时候我们只能使用手工的方法进行清除了。
1.灰鸽子分析
灰鸽子服务端程序默认名字为“g_server.exe”,“g_server.exe”运行后会在windows目录下释放“g_server.dll”和“g_server_hook.dll”文件。有些灰鸽子会多释放出一个名为“g_serverkey.dll”的文件用来记录键盘操作。“g_server.exe”文件将自己注册成服务,以启动“g_server.dll”和“g_server_hook.dll”。“g_server.dll”文件实现后门与控制端客户端进行通信,g_server_hook.dll主要通过拦截api调用来隐藏木马文件。因此,中了灰鸽子木马后,找不到病毒文件,也看不到病毒注册的服务项。而且由于灰鸽子服务端文件的设置不同,“g_server_hook.dll”有可能注入到“explorer.exe”进程,但也可能是其他系统进程。
另外,木马服务端程序文件名“g_server.exe”并不是固定的,而是可以自定义设置的,例如服务端文件名为“a.exe”时,生成的几个木马文件相应的就是“a.exe”,“a.dll”和“a_hook.dll”。
2.利用syscheck检测灰鸽子
由于灰鸽子拦截了api调用,所以在正常模式下,服务端程序文件和它注册的服务项均被隐藏,此外,灰鸽子服务端的文件名也是可以自定义的,给手工检测带来了一定的困难。但是因为灰鸽子的检测仍然是有规律的:无论服务端文件名是什么,一般都会在操作系统目录下生成一个以“_hook.dll”结尾的文件,当然,各种变种灰鸽子也可能会对dll文件进行改名。我一般是使用syscheck检测各种灰鸽子或其他木马的。
syscheck与冰刃一样,同样都是国产安全工具,它集合了冰刃与另一款安全软件sreng的优点,具有强大的系统分析检测功能,可以轻松地检测出木马并进行系统恢复,而且能够有效的清除rootkit木马病毒。syscheck的强大分析检测功能,是源于syscheck采用了特殊的技术获取系统底层控制权,因此一些杀毒软件,比如说drweb之类的,可能会发生报警提示,当然这是误报,所以说我们不用担心。
运行syscheck,点击界面中的进程管理按钮,显示当前进程中的所有进程,在进程列表中可以清楚的看到可疑的进程。
syscheck采用三种颜色区分进程:其中黑色的显示是正常的系统进程,这类进程是绝对安全的,所以说我们不用管它们;红色的进程是第三方进程,里面有可能显示了隐藏的木马进程,尤其需要好好地识别。紫色显示的也是系统进程,但是这些进程中有第三方的程序加载了dll文件或其它驱动,其中很可能就有木马与病毒做了手脚。选择我们要检查的进程,勾选下方的模块简洁显示项后,syscheck会启动过滤隐藏正常的系统dll模块文件,只以红色显示第三方模块dll文件,因此我们可以很轻松地揪出隐藏的dll木马文件。
比如说在我的系统中,alg.exe,lassas.exe,svchost.exe,csrss.exe等多个进程显示为紫色,点击进程后,在其中都发现了一个名为“g_server_hook.dll”的模块文件。很显然,这就是灰鸽子木马做了手脚了。
3.清除灰鸽子木马服务及文件
找到灰鸽子木马的进程及文件后,可以重启系统进入安全模式,打开注册表编辑器,利用搜索功能,在“查找目标”输入刚才搜索出来的木马服务端文件名,确定后就可以找到灰鸽子的服务项,然后我们将其删除就可以了。另外,在安全模式下删除刚才搜索出来的windows目录下的相应的exe文件和dll文件,然后我们再重新启动计算机,灰鸽子服务端就已经被彻底清除干净了。
但是在有些情况下灰鸽子加载的很隐蔽,可能无法直接找到相应的服务项目和文件进行删除,这时我们可以利用syscheck工具进行清除。在syscheck的进程管理中,我们直接点击快速净化按钮,自动清除进程中的可疑项目,并会修复系统中的第三方加载模块,进行全面的进化。对系统进行清理,可以方便于运行其他相关安全工具或执行灰鸽子木马的服务与文件删除。
另外,灰鸽子可能会对注册表项目进行隐藏,让我们无法直接查找到相应的服务项目,这个时候我们就可以利用syscheck的服务管理功能查杀清除。点击syscheck界面中的服务管理按钮,查看当前系统中安装的所有服务。点击仅显示非微软项,我们就可以过滤掉所有系统服务,只以红色显示第三方服务及其厂商标识信息等。通过右键菜单,我们可以查看服务对应文件的版本信息,从而辨别出是否为木马服务。右键点击该服务,我们可以选择中止或禁用服务,选择“仅删除服务键值”的话,就可以删除服务在注册表中的键值,选择“删除服务及文件”命令的话,我们就可以彻底的删除木马服务及其对应的文件。
隐藏的灰鸽子木马文件,我们可以用syscheck的文件浏览页面内置的资源管理器查看,在这里我们可以看到通过rootkit技术隐藏的木马文件或文件夹。在右键菜单可直接进行删除操作外,还可以选择“延时删除(重启后生效)”,这样我们就再也不用担心无法删除顽固的木马文件了。
