灰鸽子病毒的危害和防治方法
灰鸽子病毒
灰鸽子是国内一款著名后门。比起前辈冰河、黑洞来,灰鸽子可以说是国内后门的集大成者。其丰富而强大的功能、灵活多变的操作、良好的隐藏性使其他后门都相形见绌。客户端简易便捷的操作使刚入门的初学者都能充当黑客。当使用在合法情况下时,灰鸽子是一款优秀的远程控制软件。但如果拿它做一些非法的事,灰鸽子就成了很强大的黑客工具。
客户端简易便捷的操作使刚入门的初学者都能充当黑客。当使用在合法情况下时,灰鸽子是一款优秀的远程控制软件。但如果拿它做一些非法的事,灰鸽子就成了很强大的黑客工具。这就好比火药,用在不同的场合,给人类带来不同的影响。对灰鸽子完整的介绍也许只有灰鸽子作者本人能够说清楚,在此我们只能进行简要介绍。
灰鸽子客户端和服务端都是采用Delphi编写。黑客利用客户端程序配置出服务端程序。可配置的信息主要包括上线类型(如等待连接还是主动连接)、主动连接时使用的公网IP(域名)、连接密码、使用的端口、启动项名称、服务名称,进程隐藏方式,使用的壳,代理,图标等等。
配置出来的服务端文件文件名为G_Server.exe(这是默认的,当然也可以改变)。然后黑客利用一切办法诱骗用户运行G_Server.exe程序。
G_Server.exe运行后将自己拷贝到Windows目录下(98/xp下为系统盘的windows目录,2k/NT下为系统盘的Winnt目录),然后再从体内释放G_Server.dll和G_Server_Hook.dll到windows目录下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端, G_Server_Hook.dll负责隐藏灰鸽子。通过截获进程的API调用隐藏灰鸽子的文件、服务的注册表项,甚至是进程中的模块名。截获的函数主要是用来遍历文件、遍历注册表项和遍历进程模块的一些函数。所以,有些时候用户感觉中了毒,但仔细检查却又发现不了什么异常。有些灰鸽子会多释放出一个名为G_ServerKey.dll的文件用来记录键盘操作。注意,G_Server.exe这个名称并不固定,它是可以定制的,比如当定制服务端文件名为A.exe时,生成的文件就是A.exe、A.dll和A_Hook.dll。Windows目录下的G_Server.exe文件将自己注册成服务(9X系统写注册表启动项),每次开机都能自动运行,运行后启动G_Server.dll和G_Server_Hook.dll并自动退出。G_Server.dll文件实现后门功能,与控制端客户端进行通信;G_Server_Hook.dll则通过拦截API调用来隐藏病毒。因此,中毒后,我们看不到病毒文件,也看不到病毒注册的服务项。随着灰鸽子服务端文件的设置不同,G_Server_Hook.dll有时候附在Explorer.exe的进程空间中,有时候则是附在所有进程中。
灰鸽子的危害很大
灰鸽子是远程控制软件,这意味着安装(或感染)灰鸽子的计算机完全被灰鸽子控制端完全控制,灰鸽子控制端可以随心所欲的控制安装灰鸽子服务端的计算机。
经过上面的分析,清除灰鸽子就很容易了。清除灰鸽子仍然要在安全模式下操作,主要有两步,清除灰鸽子的服务、删除灰鸽子程序文件。为防止误操作,清除前一定要做好备份。
2000/XP系统:
1、打开注册表编辑器(点击“开始”-》“运行”,输入“Regedit.exe”,确定。),打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。
2、点击菜单“编辑”-》“查找”,“查找目标”输入“game.exe”,点击确定,我们就可以找到灰鸽子的服务项(此例为Game_Server,每个人这个服务项名称是不同的)。
3、删除整个Game_Server项。
98/me系统:
在9X下,灰鸽子启动项只有一个,因此清除更为简单。运行注册表编辑器,打开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run项,我们立即看到名为Game.exe的一项,将Game.exe项删除即可。
(二)、删除灰鸽子程序文件
删除灰鸽子程序文件非常简单,只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件,然后重新启动计算机。至此,灰鸽子VIP 2005 服务端已经被清除干净。
以上介绍的方法适用于我们看到的大部分灰鸽子木马及其变种,然而仍有极少数变种采用此种方法无法检测和清除。同时,随着灰鸽子新版本的不断推出,作者可能会加入一些新的隐藏方法、防删除手段,手工检测和清除它的难度也会越来越大。
总而言之,统而言之,灰鸽子是一款强大的病毒后门。
要防治此类计算机病毒须做到“三打三防
“三打” 就是安装新的计算机系统时,要注意打系统补丁,震荡波一类的恶性蠕虫病毒一般都是通过系统漏洞传播的,打好补丁就可以防止此类病毒感染;用户上网的时候要打开杀毒软件实时监控,以免病毒通过网络进入自己的电脑;玩网络游戏时要打开个人防火墙,防火墙可以隔绝病毒跟外界的联系,防止木马病毒盗窃资料。
1.大多数的木马病毒程序为达到下次随计算机启动而自动加载的目的,一般都会将自身隐藏于系统的一些启动项中,利用Windows系统在启动过程中会自动加载某些特定位置所指向的程序的特点,达到每次跟随系统启动而加载的目的。2.因为木马病毒的文件名可以千变万化,往往同一种木马其文件名可能完全不同,要有效地检测出木马病毒,必须通过动静结合的方法来实现。二、“小木马”变种DS (Win32.Troj.Small.ds)威胁级别:病毒特征:该病毒是一个木马下载器,当它发现用户电脑上的IE可用时,就会自动连接指定的恶意站点,下载并运行其它9个病毒。这9个病毒都是盗号木马病毒,它们会记录用户电脑的操作信息,窃取网络游戏,QQ和网上银行的帐号信息等,并把盗取的信息发送给木马种植者。对用户电脑信息安全及隐私数据构成极大的威胁。发作症状:该病毒运行后,会释放一个msgcom.dll病毒文件。然后自动连接到h**p://www.iasz.***/cq/cq.exe等9个恶意站点,进行病毒下载。危险指数:★★★★★
您好
灰鸽子其实就是一种远控程序,会根据制作者意思,生成一个任意名称的文件,然后就利用各种骗术,让您去打开这个文件,一旦打开后就会成为肉鸡,随时被黑客强控
其实防治的办法很简单,您可以到腾讯电脑管家官网下载一个电脑管家
电脑管家拥有16层实时防护功能,如果您电脑中有类似灰鸽子的文件运行,电脑管家独有云智能预警系统,可以在木马活动早期侦测并阻断木马的破坏行为,通过云查杀技术秒杀最新流行木马
如果还有其他疑问和问题,欢迎再次来电脑管家企业平台进行提问,我们将尽全力为您解答疑难
腾讯电脑管家企业平台:http://zhidao.baidu.com/c/guanjia/
灰鸽子变种XJR(Backdoor.Gpigeon.xjr)”病毒:警惕程度★★★,后门程序,通过网络传播,依赖系统:WIN 9X/NT/2000/XP。
该病毒会向系统里释放病毒文件,并修改注册表实现开机自动运行。中毒之后,攻击者可对电脑进行远程控制,进行多种危险操作如:记录键盘、结束指定的进程、强制重启电脑、执行系统命令、获取系统信息、从网上下载指定的文件等等。
微点可以防治。主要就是打好补丁啦。
金山毒霸消息,连续三年染指年度十大病毒、被反病毒专家称为最危险的后门程序“灰鸽子”病毒随着“灰鸽子2007”的发布,正在大规模集中爆发,据金山毒霸全球反病毒中心统计,仅3月1日至13日,金山截获的灰鸽子变种数就达到521个。盗号、偷窥、敲诈以及骇人听闻的公开“叫卖”,危害更甚熊猫烧香。
金山总裁雷军表示,“灰鸽子已不再是一个单纯的病毒,其背后是一条制造病毒、贩卖病毒、病毒培训为一体的黑色产业链,从某种意义上讲,灰鸽子的危害超出熊猫烧香10倍!”
与熊猫烧香的“张扬”不同,灰鸽子更象一个隐形的“贼”,潜伏在用户“家”中,监视用户的一举一动,甚至用户与MSN、QQ好友聊天的每一句话都难逃“贼”眼。如果说熊猫烧香的危害还停留在对电脑自身的破坏,而灰鸽子已经发展到对“人”的控制,而被控者的人却毫不知情。
据金山毒霸全球反病毒监测中心数据显示,仅2007年2月,中国约有258235台计算机感染灰鸽子,而同期国内感染病毒的计算机总共才2065873台,也就是说中国每10台感染病毒的计算机中,就有超过一台感染了灰鸽子。
据悉,灰鸽子本身并不具备传播性,那么灰鸽子大面积感染的背后到底存在着什么不可告人的秘密呢?
据金山反病毒专家介绍,灰鸽子的背后已经形成了一个制造、贩卖、销售病毒的“传销”帝国,而处于这条产业链条最底层的被称为“肉鸡”,一些人利用灰鸽子大量“发展”肉鸡,并通过贩卖肉鸡获取丰厚的经济利益。
按一个普通的灰鸽子操控者一个月抓10万台“肉鸡”计算,一个月就能轻松赚取至少1万元,而这还不包括窃取“肉鸡”电脑上的QQ号、游戏帐号、游戏币、银行帐号等进行交易所获得的收入。正是由于灰鸽子背后巨大的经济诱惑,无数人投身其中,乐此不疲地制造、传播灰鸽子。
据统计,从百度上搜索的讨论灰鸽子的论坛有数十个之多。其中灰鸽子工作室每天的浏览量大概在12000人;凤凰灰鸽子论坛目前共有会员33802个,其中最高有1124人同时在线;灰鸽子社区目前共有会员523人;这还没算上其他许多大众社区网站以及对此跃跃欲试的游客或好奇者。
灰鸽子的黑色产业链条正在逐步形成,网络公开叫卖的行为已经严重违反了国家法律,如果任其发展下去后果不堪设想。
有法律专家指出,中国的互联网立法比国外相对落后。《计算机信息网络国际联网安全保护管理办法》中规定制造和传播病毒是违法的,但是对于木马、黑客程序、“流氓软件”等并没有清晰的界定。这也是灰鸽子制造者敢于利用网络公开叫卖的根本原因。
雷军表示,如果一个正常的软件,一旦被反病毒产品判定为病毒,其开发者会第一时间要求反病毒公司修正其错误。而灰鸽子的作者从来没有,并不断推陈出新,同全球反病毒产品持续对抗达5年之久,丝毫没有放弃的迹象,这极其不寻常。金山作为国内最著名的网络信息安全厂商,动用了大量的人力物力,将全面围剿以“灰鸽子”为首的恶性木马病毒。金山并将时刻监控其发展动态。
灰鸽子病毒”危害程度再次增加,在正常模式下一进系统就死机,鼠标可以使用,但点
击无效!键盘除了几个控制键外均无效!进入安全模式,机子可以正常运行!前面的有人
发的两个种子含此病毒,在此再次给出“灰鸽子病毒”手动清除的办法!=============================================================================
灰鸽子的运行原理 灰鸽子木马分两部分:客户端和服务端。黑客(姑且这么称呼吧)操纵着客户端,利用客户端配置生成一个服务端程序。服务端文件的名字默认为g_server.exe,然后黑客通过各种渠道传播这个木马(俗称种木马或者开后门)。种木马的手段有很多,比如,黑客可以将它与一张图片绑定,然后假冒成一个羞涩的mm通过qq把木马传给你,诱骗你运行;也可以建立一个个人网页,诱骗你点击,利用ie漏洞把木马下载到你的机器上并运行;还可以将文件上传到某个软件下载站点,冒充成一个有趣的软件诱骗用户下载…… 由于灰鸽子病毒变种繁多,其文件名也很多变,近来发现的以(backdoor.gpigeon.sgr)类型居多,不易对付,在被感染的系统windows%目录下生成三个病毒文件,分别是 g_server.exe,g_server.dll,g_server_hook.dll。
g_server.exe运行后将自己拷贝到windows目录下(98/xp下为系统盘的windows目录,2k/nt下为系统盘的winnt目录),然后再从体内释放g_server.dll和g_server_hook.dll到windows目录下。g_server.exe、g_server.dll和g_server_hook.dll三个文件相互配合组成了灰鸽子服务端,有些灰鸽子会多释放出一个名为g_serverkey.dll的文件用来记录键盘
操作。
同时注意,g_server.exe这个名称并不固定,它是可以定制的,比如当定制服务端文
件名为a.exe时,生成的文件就是a.exe、a.dll和a_hook.dll。
windows目录下的g_server.exe文件将自己注册成服务(9x系统写注册表启动项),每次
开机都能自动运行,运行后启动g_server.dll和g_server_hook.dll并自动退出。g_serve
r.dll文件实现后门功能,与控制端客户端进行通信;g_server_hook.dll则通过拦截api调
用来隐藏病毒。因此,中毒后,我们看不到病毒文件,也看不到病毒注册的服务项。随着
灰鸽子服务端文件的设置不同,g_server_hook.dll有时候附在explorer.exe的进程空间中
,有时候则是附在所有进程中。 灰鸽子病毒其特点是“三个隐藏”——隐藏进程、隐藏服务、隐藏病毒文件
灰鸽子的手工检测 由于灰鸽子拦截了api调用,在正常模式下木马程序文件和它注册的服务项均被隐藏,也就是说你即使设置了“显示所有隐藏文件”也看不到它们。此外,灰鸽子服务端的文件名也是可以自定义的,这都给手工检测带来了一定的困难。
但是,通过仔细观察我们发现,对于灰鸽子的检测仍然是有规律可循的。从上面的运
行原理分析可以看出,无论自定义的服务器端文件名是什么,一般都会在操作系统的安装
目录下生成一个以“_hook.dll”结尾的文件。通过这一点,我们可以较为准确手工检测出
灰鸽子木马。
由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模式下进行。进入安全模式的方法是:启动计算机,在系统进入windows启动画面前,按下f8键,在出现的启动选项菜单中,选择“安全模式”。
1、由于灰鸽子的文件本身具有隐藏属性,因此要设置windows显示所有文件。打开“
我的电脑”,选择菜单“工具”……“文件夹选项”,点击“查看”,取消“隐藏受保护
的操作系统文件”前的对勾,并在“隐藏文件和文件夹”项中选择“显示所有文件和文件
夹”,然后点击“确定”。
2、打开windows的“搜索文件”,文件名称输入“*_hook.dll”,搜索位置选择wind
ows的安装目录(默认98/xp为c:\windows,2k/nt为c:\winnt)。
3、经过搜索,在windows目录(不包含子目录)下发现了一个名为g_server_hook.dl
l的文件。
4、根据灰鸽子原理分析我们知道,g_server_hook.dll是灰鸽子的文件,则在操作系
统安装目录下还会有g_server.exe和g_server.dll文件。打开windows目录,果然有这两个
文件,同时还有一个用于记录键盘操作的g_serverkey.dll文件。 经过这几步操作基本就可以确定这些文件是灰鸽子木马了,下面就可以进行手动清除
灰鸽子病毒的危害和防治方法视频
相关评论:
常竖晶由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模式下进行。进入安全模式的方法是:启动计算机,在系统进入Windows启动画面前,按下F8键(或者在启动计算机时按住Ctrl键不放),在出现的启动选项菜单中,选择"Safe Mode"或"安全模式"。1、由于灰鸽子的文件本身具有隐藏属性,因此要设置...
常竖晶灰鸽子就是一个远程控制软件,是一个后门木马 这个木马会在后台窃听你的信息,你的QQ号,游戏账号,很多的账号 并将信息发送到木马散播者 黑客还可以通过这个木马远程登录你的电脑,控制你的电脑 还可以以你的机子为跳板,去干一些坏事,像入侵别人服务器之类的(这时,你的机子就变成了“肉鸡”了),...
常竖晶灰鸽子(Hack. Huigezi)是一个集多种控制方法于一体的木马病毒,一旦用户电脑不幸感染,可以说用户的一举一动都在黑客的监控之下,要窃取账号、密码、照片、重要文件都轻而易举。更甚的是,他们还可以连续捕获远程电脑屏幕,还能监控被控电脑上的摄像头,自动开机(不开显示器)并利用摄像头进行录像。截至...
常竖晶Adware.Win32.CPush.e Adware.Win32.Dodolook.b Adware.Win32.Agent.num 该木马群成功感染后所有杀毒软件被禁止或劫持,桌面(或称Window Shell)explorer.exe被注入和劫持,某些情下安全模式被破坏。所以,完全清除对具有一定的难度,需要一点耐心、信心和电脑操作熟练度。解决办法:1、准备工具IceSword...
常竖晶首先灰鸽子是病毒,不是木马。你的电脑中了灰鸽子这种相当厉害的病毒是很危险的,防火墙起不了多大作用,别人还是可以远程操控。像这种病毒发现了就要立即杀掉,多留一天多一份危险。
常竖晶查看作者文集 发短消息 最近好多人都中灰鸽子,找了一个手工清除的办法,大家帮手顶顶吧^_^ 方法一: 灰鸽子(Backdoor.Huigezi)作者现在还没有停止对灰鸽子的开发,再加上有些人为了避开杀毒软件的查杀故意给灰鸽子加上各种不同的壳,造成现在网络上不断有新的灰鸽子变种出现。尽管瑞星公司一...
常竖晶二、删除灰鸽子程序文件 删除灰鸽子程序文件非常简单,只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件,然后重新启动计算机。至此,灰鸽子VIP 2005 服务端已经被清除干净。 灰鸽子病毒手工清除方法 灰鸽子(Backdoor.Huigezi)作者现在还没有停止对灰鸽子的开发,再加上有些...
常竖晶至此,灰鸽子VIP 2005 服务端已经被清除干净。 以上介绍的方法适用于看到的大部分灰鸽子木马及其变种,然而仍有极少数变种采用此种方法无法检测和清除。同时,随着灰鸽子新版本的不断推出,可能会加入一些新的隐藏方法、防删除手段,手工检测和清除它的难度也会越来越大。总结: 随着如今网络的发展,病毒的...
常竖晶最近U盘病毒挺猖獗的);5、不进不明不网站,不收奇怪邮件。下载完压缩包文件后先进行病毒扫描6、关闭不必要的端口7、要是有时间和精力的话,学一些电脑的常用技巧和知识; 最后,我要说的是,你要是平常的确是很小心,但还是中毒的话,那也是没办法的!(用Ghost备份系统是个不错的选择)...
常竖晶灰鸽子病毒传播渠道很多,尤其是灰鸽子2007(Win32.Hack.Huigezi)对大量电脑安全造成了极大威胁,成为为2007年3月份破坏最大的电脑病毒,据估计灰鸽子病毒的危害超出熊猫烧香10倍 。灰鸽子并非新近出现的病毒,已经有几年的历史,只不过灰鸽子病毒的最新变种灰鸽子2007破坏性极大,如果发现电脑出现了灰鸽子...
