淺析win7系統(tǒng)灰鴿子病毒的危害和清理方法

2017-07-25 15:11

  現(xiàn)在網(wǎng)絡(luò)發(fā)達(dá),各種病毒也層出不斷,比如灰鴿子病毒,這是一種傳播、感染速度快的木馬病毒,會對電腦產(chǎn)生很多的危害,導(dǎo)致電腦無法使用,那么灰鴿子病毒的危害有哪些?又該怎么清理灰鴿子病毒呢?下面以win7旗艦版32位系統(tǒng)為例,給大家淺析win7系統(tǒng)灰鴿子病毒的危害和清理方法。

  1、灰鴿子病毒的危害:

  灰鴿子其實(shí)就是一種遠(yuǎn)控程序,會根據(jù)制作者意思,生成一個任意名稱的文件,然后就利用各種騙術(shù),讓您去打開這個文件,一旦打開后就會成為肉雞,隨時被黑客強(qiáng)控

  2、灰鴿子的運(yùn)行原理:

  灰鴿子木馬分兩部分:客戶端和服務(wù)端。黑客(姑且這么稱呼吧)操縱著客戶端,利用客戶端配置生成出一個服務(wù)端程序。服務(wù)端文件的名字默認(rèn)為G_Server.exe,然后黑客通過各種渠道傳播這個木馬(俗稱種木馬或者開后門)。種木馬的手段有很多,比如,黑客可以將它與一張圖片綁定,然后假冒成一個羞澀的MM通過QQ把木馬傳給你,誘騙你運(yùn)行;也可以建立一個個人網(wǎng)頁,誘騙你點(diǎn)擊,利用IE漏洞把木馬下載到你的機(jī)器上并運(yùn)行;還可以將文件上傳到某個軟件下載站點(diǎn),冒充成一個有趣的軟件誘騙用戶下載……

  G_Server.exe運(yùn)行后將自己拷貝到Windows目錄下(Win98/WinXP/Win7下為系統(tǒng)盤的Windows目錄,Win2000/WinNT下為系統(tǒng)盤的Winnt目錄),然后再從體內(nèi)釋放G_Server.dll和G_Server_Hook.dll到Windows目錄下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三個文件相互配合組成了灰鴿子服務(wù)端,有些灰鴿子會多釋放出一個名為G_ServerKey.dll的文件用來記錄鍵盤操作。

  注意:G_Server.exe這個名稱并不固定,它是可以定制的,比如當(dāng)定制服務(wù)端文件名為A.exe時,生成的文件就是A.exe、A.dll和A_Hook.dll。

  Windows目錄下的G_Server.exe文件將自己注冊成服務(wù)(9X系統(tǒng)寫注冊表啟動項(xiàng)),每次開機(jī)都能自動運(yùn)行,運(yùn)行后啟動G_Server.dll和G_Server_Hook.dll并自動退出。G_Server.dll文件實(shí)現(xiàn)后門功能,與控制端客戶端進(jìn)行通信;G_Server_Hook.dll則通過攔截API調(diào)用來隱藏病毒。因此,中毒后,我們看不到病毒文件,也看不到病毒注冊的服務(wù)項(xiàng)。隨著灰鴿子服務(wù)端文件的設(shè)置不同,G_Server_Hook.dll有時候附在Explorer.exe的進(jìn)程空間中,有時候則是附在所有進(jìn)程中。

  3、如何檢測計算機(jī)是否感染灰鴿子病毒?

  由于灰鴿子攔截了API調(diào)用,在正常模式下木馬程序文件和它注冊的服務(wù)項(xiàng)均被隱藏,也就是說你即使設(shè)置了“顯示所有隱藏文件”也看不到它們。此外,灰鴿子服務(wù)端的文件名也是可以自定義的,這都給手工檢測帶來了一定的困難。

  但是,通過仔細(xì)觀察我們發(fā)現(xiàn),對于灰鴿子的檢測仍然是有規(guī)律可循的。從上面的運(yùn)行原理分析可以看出,無論自定義的服務(wù)器端文件名是什么,一般都會在操作系統(tǒng)的安裝目錄下生成一個以“_hook.dll”結(jié)尾的文件。通過這一點(diǎn),我們可以較為準(zhǔn)確手工檢測出灰鴿子木馬。

  由于正常模式下灰鴿子會隱藏自身,因此檢測灰鴿子的操作一定要在安全模式下進(jìn)行。進(jìn)入安全模式的方法是:啟動計算機(jī),在系統(tǒng)進(jìn)入Windows啟動畫面前,按下F8鍵(或者在啟動計算機(jī)時按住Ctrl鍵不放),在出現(xiàn)的啟動選項(xiàng)菜單中,選擇“Safe Mode”或“安全模式”。

  1、由于灰鴿子的文件本身具有隱藏屬性,因此要設(shè)置Windows顯示所有文件。打開“計算機(jī)”,選擇菜單“工具”—>“文件夾選項(xiàng)”,點(diǎn)擊“查看”,取消“隱藏受保護(hù)的操作系統(tǒng)文件”前的勾選,并勾選“顯示隱藏的文件和文件夾”,然后點(diǎn)擊“確定”;

淺析win7系統(tǒng)灰鴿子病毒的危害和清理方法

  2、打開Windows的“搜索文件”,文件名稱輸入“_hook.dll”,搜索位置選擇Windows的安裝目錄(默認(rèn)Win98/WinXP/Win7為C:\Windows、Win2000/WinNT為C:\Winnt);

淺析win7系統(tǒng)灰鴿子病毒的危害和清理方法

  3、經(jīng)過搜索,我們在Windows目錄(不包含子目錄)下發(fā)現(xiàn)了一個名為Game_Hook.dll的文件。

  4、根據(jù)灰鴿子原理分析我們知道,如果Game_Hook.DLL是灰鴿子的文件,則在操作系統(tǒng)安裝目錄下還會有Game.exe和Game.dll文件。打開Windows目錄,果然有這兩個文件,同時還有一個用于記錄鍵盤操作的GameKey.dll文件。

  經(jīng)過這幾步操作我們基本就可以確定這些文件是灰鴿子木馬了,下面就可以進(jìn)行手動清除。

  4、win7系統(tǒng)怎么清理灰鴿子病毒?

  經(jīng)過上面的分析,清除灰鴿子就很容易了。清除灰鴿子仍然要在安全模式下操作,主要有兩步:

  ● 清除灰鴿子的服務(wù);

  ● 刪除灰鴿子程序文件。

  注意:為防止誤操作,清除前一定要做好備份。

  一、清除灰鴿子的服務(wù)

  1、打開注冊表編輯器(點(diǎn)擊“開始”->“運(yùn)行”,輸入“Regedit.exe”,確定。)打開HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services;

淺析win7系統(tǒng)灰鴿子病毒的危害和清理方法

  2、點(diǎn)擊菜單“編輯”->“查找”,“查找目標(biāo)”輸入“game.exe”,點(diǎn)擊確定,我們就可以找到灰鴿子的服務(wù)項(xiàng)(此例為Game_Server);

淺析win7系統(tǒng)灰鴿子病毒的危害和清理方法

  3、刪除整個Game_Server項(xiàng)。

  二、刪除灰鴿子程序文件

  刪除灰鴿子程序文件非常簡單,只需要在安全模式下刪除Windows目錄下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件,然后重新啟動計算機(jī)。至此,灰鴿子已經(jīng)被清除干凈。

  關(guān)于淺析win7系統(tǒng)灰鴿子病毒的危害和清理方法就給大家介紹到這邊了,大家可以了解一下,有遇到灰鴿子病毒也可以采取上面的方法來處理就可以了。

網(wǎng)友評論

相關(guān)閱讀