近来“灰鸽子病毒”传播的甚是厉害,我的计算机也感染了,是Backdoor.Gpigeon.Sgr。用最新版本的瑞星杀毒软件不能彻底清除,可能在正常杀毒下显示已完全清除,但可能在你重新启动后,木马程序再次生成,甚是懊恼!!!在这里结合本人的实际经验给出一个“灰鸽子病毒”手动清除的办法!
1.灰鸽子的运行原理
灰鸽子木马分两部分:客户端和服务端。黑客(姑且这么称呼吧)操纵着客户端,利用客户端配置生成一个服务端程序。服务端文件的名字默认为G_Server.exe,然后黑客通过各种渠道传播这个木马(俗称种木马或者开后门)。
灰鸽子病毒其特点是“三个隐藏”——隐藏进程、隐藏服务、隐藏病毒文件,在正常模式下用户无法找到病毒文件。
由于灰鸽子病毒变种繁多,其文件名也很多变,近来发现的以(Backdoor.GPigeon.sgr)类型居多,不易对付,在被感染的系统%Windows%目录下生成三个病毒文件,分别是 G_Server.exe,G_Server.dll,G_Server_Hook.dll。
G_Server.exe运行后将自己拷贝到Windows目录下(98/xp下为系统盘的windows目录,2k/NT下为系统盘的Winnt目录),然后再从体内释放G_Server.dll和G_Server_Hook.dll到windows目录下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端,有些灰鸽子会多释放出一个名为G_ServerKey.dll的文件用来记录键盘操作。 同时注意,G_Server.exe这个名称并不固定,它是可以定制的,例如我感染的计算机其定制服务端文件名为tsp2_server.exe,则生成的文件就是tsp2_server.exe、tsp2_server.dll和tsp2_server_Hook.dll。
2.灰鸽子的手工检测
由于灰鸽子拦截了API调用,在正常模式下木马程序文件和它注册的服务项均被隐藏,也就是说你即使设置了“显示所有隐藏文件”也看不到它们。此外,灰鸽子服务端的文件名也是可以自定义的,这都给手工检测带来了一定的困难。
但是,对于灰鸽子的检测仍然是有规律可循的。从上面的运行原理分析可以看出,无论自定义的服务器端文件名是什么,一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。
由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模式下进行。
由于灰鸽子的文件本身具有隐藏属性,因此要设置Windows显示所有文件。打开“我的电脑”,选择菜单“工具”—》“文件夹选项”,点击“查看”,取消“隐藏受保护的操作系统文件”前的对勾,并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”,然后点击“确定”。 例如,可以打开Windows的“搜索文件”,文件名称输入“tsp2_server”,搜索位置选择Windows的安装目录(默认98/xp为C:\windows,2k/NT为C:\Winnt)。 根据灰鸽子原理分析我们知道,tsp2_server.exe是灰鸽子的文件,则在操作系统安装目录下还会有tsp2_server_hook.dll和tsp2_server.dll文件。打开Windows目录,果然有这两个文件,但没有用于记录键盘操作的tsp2_serverkey.dll文件。
经过这几步操作基本就可以确定这些文件是灰鸽子木马了,下面就可以进行手动清除。
特别提示:很多杀毒软件虽然清除不了该病毒,但可以认定是什么文件感染了该病毒。
3。灰鸽子的手工清除
经过上面的分析,清除灰鸽子就很容易了。清除灰鸽子仍然要在安全模式下操作,主要有两步:1、清除灰鸽子的服务;2删除灰鸽子程序文件。
注意:此操作需在安全模式下进行,为防止误操作,清除前一定要做好备份。
一、清除灰鸽子的服务
2000/XP系统:
1、打开注册表编辑器(点击“开始”-》“运行”,输入“Regedit.exe”,确定。),打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 注册表项。
2、点击菜单“编辑”-》“查找”,“查找目标”输入“tsp2_server.exe”,点击确定,我们就可以找到灰鸽子的服务项.
3、删除整个tsp2_server.exe键值所在的服务项。
二、删除灰鸽子程序文件
删除灰鸽子程序文件非常简单,只需要在安全模式下删除Windows目录下的相应的病毒文件,然后重新启动计算机。至此,灰鸽子已经被清除干净。