“灰鸽子”完整猎杀方案(转帖)
[table=72%,#ffffff][tr][td][color=#0000cc][/color][/td][/tr][tr][td][/td][td=1,1,97%][table][tr][td][u][b][color=magenta]怎么预防“灰鸽子”?[/color][/b][/u]灰鸽子自身并不具备传播性,一般通过网页、邮件、IM聊天工具、非法软件四种途径进行传播。
网页传播是指病毒制作者将灰鸽子病毒植入网页中,用户浏览即感染;邮件传播是指灰鸽子被捆绑在邮件附件中进行传播;IM聊天工具传播是指通过即时聊天工具传播携带灰鸽子的网页链接或文件;非法软件传播是指病毒制作者将灰鸽子病毒捆绑进各种非法软件,用户下载解压安装即感染。
灰鸽子病毒泛滥已经数年,变种数万,因为病毒具备很好的隐形特性,让人防不胜防。日前记者采访了金山、瑞星、江民等杀毒厂商,他们建议网友在使用电脑时应注意以下几点:
1.注意安装IE浏览器的补丁程序,很多灰鸽子是攻击者故意把病毒放在带漏洞攻击程序的网站上,有漏洞的机器访问这些网站就会中毒。
2.及时升级杀毒软件,使用盗版杀毒软件(或者一个正版ID用在多台计算机上)是不能正常升级的,特别需要检查。
3.对朋友或陌生人发送来的可疑程序不要运行,别被对方的谎言蒙骗。
4.关闭所有磁盘的自动播放功能,避免插入带毒U盘、移动硬盘、数码存储卡中毒。
[u][b][color=magenta]如何猎杀“灰鸽子”?[/color][/b][/u]
由于灰鸽子本身的隐蔽性很强,用Windows系统自带的工具,很难发现灰鸽子入侵。那我们如何去发现电脑中已经被植入的灰鸽子病毒呢?一般而言大家可采用杀毒软件将 “灰鸽子”病毒查杀掉,但是由于“灰鸽子”不断变种,因此大家需要经常更新,而且即使更新也难以跟上“灰鸽子”的变种速度。所以,电脑用户还可以去下载一些专杀工具,如果即使下载专杀工具仍无法完全清除“灰鸽子”的话,建议电脑用户可采用手工杀毒的办法来清除“灰鸽子”木马程序。
[u][b][color=magenta]手工杀毒办法[/color][/b][/u]
手工杀毒需要借助工具软件:冰刃。无法根据进程列表看出哪个是病毒时,可以启动冰刃,同时打开任务管理器比较一下,冰刃里多出的进程可能就是灰鸽子病毒。进程名如果是假冒word、记事本的图标,需要重点关注。
选中G_server2007进程,单击右键,结束进程,然后直接根据提示点左边的文件,浏览到上图程序名称提示的文件夹,找到g_server2007.exe和g_server2007.DLL(中毒后的文件名由攻击者定制,各不相同,应尽可能根据冰刃提示的路径去查找。有的版本带有_hook.dll,可以查看文件日期,应该是同时生成的。)点击右键,彻底删除即可。
“灰鸽子”身世
2004年、2005年、2006年,“灰鸽子”木马因为连续三年被国内各大杀毒厂商评选为年度十大病毒而声名大噪,逐步成为媒体以及网民关注的焦点。自2001年出现至今,灰鸽子主要经历了模仿期、飞速发展期以及全民黑客时代三大阶段。
“灰鸽子”最初主要模仿“冰河”木马,早期并未以成品方式发布,更多的是以技术研究的姿态,采用源码共享的方式出现在互联网。由于名气不及“冰河”,当时只出现了少量的感染,但其开放源码的方式也使其传播量逐渐增大。
因为源码开放,“灰鸽子”的版本越来越多。当时,大部分安全厂商将对用户上报和监测到的“灰鸽子”服务端都认定为“黑客程序”,并坚决查杀,在一定程度上遏制了灰鸽子的发展速度。
2004年至2005年,大量的商业动作实现了互联网化,电子商务成为普通网民进行消费的选择之一,网络游戏在中国大地全面开花。在这样的情况下,大量通过IM(即时通讯软件)传播的木马和病毒不择手段地从用户系统中盗取网银账号、网游账号及密码,给中国互联网提出了新的挑战。灰鸽子也逐步进入成熟期,大量变种在互联网中衍生[/td][/tr][/table][/td][/tr][/table] 学习学习~~:call43 还得清理注册表里鸽子的加载项。。。。。。。。。。。。。。。这个是手工杀毒的第三步 清理病毒痕迹。。。。。。 “灰鸽子”...
亨。。。。俺看不起它,!!!!!!!!!!! ls的那位 rootkit类的病毒你都玩的转么。。。。。。。
回复 #5 明风和尚 的帖子
看你这话说的。。。病毒虽然可耻。不过rootkit类的病毒,说实话我是越来越看它们不怎么滴,不过有少数俺还是相信它的技术含量的。。 对抗rootkit类病毒起码精通系统底层 不知道你从哪里看不起灰鸽子。。。。。。。。。。。。。。。赐教,赐教 不鸟我..................... [quote]原帖由 [i]海豚★男孩[/i] 于 2007-5-4 10:47 发表 [url=http://www.joy666.com/redirect.php?goto=findpost&pid=58815&ptid=42155][img]http://www.joy666.com/images/common/back.gif[/img][/url]看你这话说的。。。病毒虽然可耻。不过rootkit类的病毒,说实话我是越来越看它们不怎么滴,不过有少数俺还是相信它的技术含量的。。 [/quote]
看不出 海豚原来 会分析病毒啊。。。 - -。 那把鸽子分析分析??证明下 你在我眼中的能力好伐??? up up up
顶啊 [img]http://cimg2.163.com/tech/2007/3/29/200703291626212677e.jpg[/img]你们说的不就是它嘛?你们觉得它很厉害吗?还缺了只眼睛.切!!!所以我看不起它!呵呵 开个玩笑,回到正题吧.
它虽然是07年的电脑杀手,不过对付它的客星多的是,你们觉得还有必要去想什么方案吗?再有就算去想不也就和[img]http://img.kingsoft.com/publish/duba/image/news/2006/12/26/001.gif[/img]一样,无非就是诶 什么去注册表里找到某文件再去想办法把它删了.
哎既然 某人要我解释,哎那就说详细点吧,等下又惹来闲言闲语....
某些人请听好了:
[img]http://cimg2.163.com/tech/2007/3/29/200703291626212677e.jpg[/img]它英文名为win32.hack.huigezi对不对?
算不算是木马?它是不是木马???
它主要表现在用户电脑上的哪些方面?它主要给用户带来最大的威胁又是什么>???它.主要又是怎么样来传拨的.它 运行后是不是会生成一个.exe和一个.dll的病毒文件,采用进程触发,即检测到特定进程时才会运行病毒,比如将其设定为注入QQ的进程,用户必须登陆QQ的时候才能启动,关闭QQ时灰鸽子将自动退出。其他版本的清除方法基本相同这样的现象 , 对不对?
其实只要你真正弄懂了这些就不难杀它拉.
你先别急着说话,:"方案"来了,我先声明我这是从网上看来的结果,不过可能也是个很好的,很简单的方法.:打开icesword,应该会打开吧?进程中存在G_Server2007.exe进程
[img]http://cimg2.163.com/tech/2007/3/26/200703261009114cdfa.jpg[/img]
如果是启IE的版本,则先结束IE进程
[img]http://cimg2.163.com/tech/2007/3/26/20070326100929c11e4.jpg[/img]
打开Maxthon或Explorer进程,发现已经被灰鸽子的DLL注入
[img]http://cimg2.163.com/tech/2007/3/26/20070326100947a73d4.jpg[/img]
[img]http://cimg2.163.com/tech/2007/3/26/20070326101003ebc7a.jpg[/img]
看文件,发现灰鸽子病毒文件,一个exe,一个dll,还有一个为记录的文件.log
[img]http://cimg2.163.com/tech/2007/3/26/200703261010232f99a.jpg[/img]
[img]http://cimg2.163.com/tech/2007/3/26/200703261010387c13a.jpg[/img]
[img]http://cimg2.163.com/tech/2007/3/26/2007032610105502da6.jpg[/img]
此时可以使用毒霸带的文件粉碎器,若没有安装毒霸,可以下载免费“金山系统清理专家”,里面带有该工具(也可以重启后删除该病毒文件
[img]http://cimg2.163.com/tech/2007/3/26/20070326101109bc29a.jpg[/img]
添加病毒文件彻底删除即可。
[img]http://cimg2.163.com/tech/2007/3/26/20070326101128803bf.jpg[/img]
此时,是不是已经看不到病毒文件,病毒文件已经全部删除
[img]http://cimg2.163.com/tech/2007/3/26/20070326101143b4cfa.jpg[/img]
哈哈
某人看了请说话,不要太离谱就OK. [quote]原帖由 [i]海豚★男孩[/i] 于 2007-5-17 14:41 发表 [url=http://www.joy666.com/redirect.php?goto=findpost&pid=60143&ptid=42155][img]http://www.joy666.com/images/common/back.gif[/img][/url]
我先声明我这是从网上看来的结果 [/quote]
我说我要你自己分析 没让你转载.....你还是没看懂我说的话......I服了U
1.你自己说的是从网上看的...为什么你不下个鸽子样本来分析一下 我要的是原创 ......这也充分说明了你的技术 不过从网上看看方法而已,而且你只是讲如何删除鸽子 我要的是分析他的行为.....比如如何隐藏自己的进程等等......我要的彻头彻尾的分析.....
2我强烈要求你向我道歉 之前的事情不用我说了吧...你小子在那个帖子穿MJ来骂我....并且不知道是那个无耻的斑竹改了我在回复....你要问为什么???好啊 之前有个haohao 骂过我的"句号" 后来你小子又回复 "再次讨厌我的句号"这已经充分说明了你小子的RP 这是一个斑竹该有的行为么!!!!!!!!!!!!!!!!! 我也干过斑竹.....斑竹修改会员的帖子是不会留痕迹的...所以我明显吃了哑巴亏 不知道哪位斑竹这么无耻 敢做不敢当 ...有本事站出来....
3我昨天发的帖子为什么没有了......请给我一个合理的解释
4有这个垃圾帖子有必要置顶么?鸽子已经成为众矢之的 专杀 一堆你们的版块怎么老置顶过时的东西
5我要求那位改我回复的斑竹给我道歉 !!!!!!!!
PS:这里我也要不客气 .......哪个混蛋斑竹再敢修改我的帖子 你也趁早别当了 给这丢人.....给您父母丢人 净干这个敢做不敢当的事情 居然给我发这样的短信息。。。。。。。这也叫做你删我帖子的理由么。。。。。[img]http://photo.store.qq.com/http_imgload.cgi?/rurl2=9d0532077162a8a71eac6987b279c2f264b3b3bb33fd780446d64f5ae095a6018a57e4b0c42e7b3df522b9e3a9a1ed0fc45ca608939097858edf6ca8e11572d7e53ea321382ce43deade570f9cbf8cdef05145e6[/img]
作为一个斑竹你怎么可以给会员发这种短信。。。。。并且辱骂会员。。。。。
我的要求如下:
1给我再次道歉。。。。。。。。。。。。。。
2请你好好学习英语 不会用就别乱用 版主?? 这个就是版主???
这个就是分析???
自己的分析呢??? 网上看的 算什么??
再说鸽子又不是随QQ加载而加载。。搞什么搞。。
删帖了不起???
现在开始乱用权限了咯??
开始辱骂会员了咯??、
小朋友还是脑充血了咯??? 和熊猫 一样??
2个完全两种方式的 东西 。你放一起比较???你没事吧
既然你RP这么差。我也没必要 用文明的语言和你交流。。本来还一直把你当人看的。。
回复 #12 明风和尚 的帖子
难道你没看懂 我的意思吗?自己分析和以前的一切的一切还不都差不多,你自己再去看看我的帖子吧,要是你要我分析,切,你配吗?你自己的分析呢在哪,见鬼去了吗。哈哈 请不要侮辱中国伟大的文字。。你不配用中文
OK了伐???
舒服了伐???
拿你当人看 你表。。
喜欢当狗。。。
回复 #16 海豚★男孩 的帖子
1我没有说我会分析.......还有我前面说的让你"赐教 赐教" 对抗rootkit类病毒需要精通系统底层。。。这个我很烂 但是手动的删除我还是会的。。。。。还有我之所以让你分析 我是想让你证明下你的实力。。。。你却转载 还有我说的分析应该是用ssm或者影子等工具具体分析 也就是说你要分析必须拿病毒样本说话。。。2请你正面回应 开马甲号骂我的事情。。。
3请你正面回应我删除我帖子的正当理由
4基于我目前对你的认识 你不给我道歉我已经觉得很正常了。。。。
5不会分析样本其实不是一件很丢人的事情。。。。。别看的太重太爱面子了。。。。
6也许你对我有成见吧。。。。但是希望你不要跟别的会员也这么说话。。。。除非你表明你的立场不代表这个论坛。。。而是你自己
看来本人得出山老...
再没有(在网上)得到资料,知道其 x'x.exe 和xx.dll为病毒文件之前..你怎么发现其病毒体,和病毒函数库,,或者病毒在其运行期间都动过哪些文件,访问过那些注册表项
目,,,,
请您在没有具备这些知识前..不要盲目转贴...谨防上当受骗... 恩
同意楼上的看法!
感觉海豚的方案欠缺!正如 scrter 所说,写出自己的分析方案来~~~
页:
[1]
2