爱华网截至2006年底,“灰鸽子”木马已经出现了6万多个变种。客户端简易便捷的操作使刚入门的初学者都能充当黑客。当使用在合法情况下时,灰鸽子是一款优秀的远程控制软件。但如果拿它做一些非法的事,灰鸽子就成了很强大的黑客工具。
2013年起,灰鸽子商标被 潍坊灰鸽子安防工程有限公司注册。意在开发一款不会被恶意使用的正规远程控制。
主要特点
(1)。客户端简易便捷的操作使刚入门的初学者都能充当黑客。当使用在合法情况下时,灰鸽子是一款优秀的远程控制软件。但如果拿它做一些非法的事,灰鸽子就成了很强大的黑客工具。这就好比火药,用在不同的场合,给人类带来不同的影响。对灰鸽子完整的介绍也许只有灰鸽子作者本人能够说清楚,在此我们只能进行简要介绍。
灰鸽子客户端和服务端都是采用Delphi编写。黑客利用客户端程序配置出服务端程序。可配置的信息主要包括上线类型(如等待连接还是主动连接)、主动连接时使用的公网IP(域名)、连接密码、使用的端口、启动项名称、服务名称,进程隐藏方式,使用的壳,代理,图标等等。
服务端对客户端连接方式有多种,使得处于各种网络环境的用户都可能中毒,包括局域网用户(通过代理上网)、公网用户和ADSL拨号用户等。因涉及互联网安全法律纠纷问题,自2007年3月21日起灰鸽子已全面停止开发和注册。互联网上现存灰鸽子版本为以前所开发灰鸽子软件及其修改版。
(2)作者葛军(1982-? )安徽潜山人,灰鸽子工作室管理员,精通Delphi、ASP、数据库编程,2001年首次将反弹连接应用在远程控制软件上,随后掀起了国内远程控制软件使用反弹连接的热潮,2005年4月,将虚拟驱动技术应用到灰鸽子屏幕控制上,使灰鸽子的屏幕控制达到了国际先进水平。
葛军,“灰鸽子工作室”的创办者,一个低调而又引人注目的程序员。
(3)服务端:
配置出来的服务端文件文件名为G_Server.exe(这是默认的,当然也可以改变)。然后黑客利用一切办法诱骗用户运行G_Server.exe程序。
G_Server.exe运行后将自己拷贝到Windows目录下(98/xp下为系统盘的windows目录,2k/NT下为系统盘的Winnt目录),然后再从体内释放G_Server.dll和G_Server_Hook.dll到windows目录下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端, G_Server_Hook.dll负责隐藏灰鸽子。通过截获进程的API调用隐藏灰鸽子的文件、服务的注册表项,甚至是进程中的模块名。截获的函数主要是用来遍历文件、遍历注册表项和遍历进程模块的一些函数。所以,有些时候用户感觉中了毒,但仔细检查却又发现不了什么异常。有些灰鸽子会多释放出一个名为G_ServerKey.dll的文件用来记录键盘操作。注意,G_Server.exe这个名称并不固定,它是可以定制的,比如当定制服务端文件名为A.exe时,生成的文件就是A.exe、A.dll和A_Hook.dll。Windows目录下的G_Server.exe文件将自己注册成服务(9X系统写注册表启动项),每次开机都能自动运行,运行后启动G_Server.dll和G_Server_Hook.dll并自动退出。G_Server.dll文件实现后门功能,与控制端客户端进行通信;G_Server_Hook.dll则通过拦截API调用来隐藏病毒。因此,中毒后,我们看不到病毒文件,也看不到病毒注册的服务项。随着灰鸽子服务端文件的设置不同,G_Server_Hook.dll有时候附在Explorer.exe的进程空间中,有时候则是附在所有进程中。
灰鸽子的作者对于如何逃过杀毒软件的查杀花了很大力气。由于一些API函数被截获,正常模式下难以遍历到灰鸽子的文件和模块,造成查杀上的困难。要卸载灰鸽子动态库而且保证系统进程不崩溃也很麻烦,因此造成了近期灰鸽子在互联网上泛滥的局面。
发展历程
自2001年,灰鸽子诞生之日起,就被反病毒专业人士判定为最具危险性的后门程序,并引发了安全领域的高度关注。2004年、2005年、2006年,灰鸽子木马连续三年被国内各大杀毒厂商评选为年度十大病毒,灰鸽子也因此声名大噪,逐步成为媒体以及网民关注的焦点。人们在震惊于灰鸽子给广大电脑用户带来的危害的同时,不禁要问,灰鸽子是如何从一个模仿其他病毒开始,发展成为国内极具影响的十大病毒、甚至毒王的呢?
灰鸽子自2001年出现至今,主要经历了模仿期、飞速发展期以及全民黑客时代三大阶段。
灰鸽子2011出现变种。服务端加壳之后仅有70kb,比葛军的灰鸽子小了近10倍。国家多线程上线分组。可视化远程开户。可以躲过主流管理员的检测方式。隐蔽性强。
模仿期飞速发展期全民黑客时代
2001年-2003年2004年-2005年2006年-2007年
模仿期(2001年-2003年)
2001年,国内互联网逐步走向普及,网络病毒也伴随着互联网的发展日益取代传统意义上的病毒,而到了2002年,以“电子邮件”、“网络下载和浏览”等方式传播的病毒开始大量涌现,互联网安全成为大众关注的焦点。
与此同时,随着网络的普及,人们已经可以足不出户的工作和学习,SOHO越来越受到人们的青睐。有了网络我们可以在城市的一边使用计算机控制另外一边的计算机,从而不用我们花费大量精力亲自到机房操作服务器,远程控制管理软件也由此诞生。
2002年,远程控制软件已经步入了成熟阶段,是网管人员必备的工具。但同时一些带有恶意行为的远程控制软件(后门)也在互联网中流传,其中国内最为著名的就是“冰河”木马后门。“冰河”在当时被泛滥的用于控制各种网络服务器,在黑客成功攻陷一个服务器后,都会被安装上“冰河”的服务端,2002年的中国10大病毒中,位列第三位。
而灰鸽子最早出现的时候就是在模仿“冰河”。“灰鸽子”是2001年出现的,采用Delphi编写,最早并未以成品方式发布,更多的是以技术研究的姿态,采用了源码共享的方式出现在互联网,至今仍可搜索到“灰鸽子”早期版本的源码。“灰鸽子”在出现的时候使用了当时讨论最多的“反弹端口”连接方式,用以躲避大多数个人网络防火墙的拦截。“灰鸽子”在当时的名气不及“冰河”,因此只出现了少量的感染,但其开放源码的方式也让“灰鸽子”逐渐增大了传播量。
灰鸽子出现后以源码开放,所以出现多种不同的版本,由于服务端都以隐藏方式启动,就奠定了其恶意后门木马的地位,当时,以金山毒霸为首的大部分安全厂商将对用户上报和监测到的“灰鸽子”服务端都认定为“黑客程序”,并坚决查杀,在一定程度上遏制了灰鸽子的发展速度。
飞速发展期(2004年-2005年)
从2004年至2005年,中国互联网化进程飞速发展,大量的商业动作实现了互联网化,电子商务成为普通网民进行消费的选择之一,网络游戏在中国大地全面开花。在这样的年代下,计算机病毒也逐步转向了以经济利益为中心的方向发展。大量通过IM(即时通讯软件)传播的木马/黑客/病毒,它们不择手段的从用户系统中盗取网银帐号、网游帐号及密码。这些病毒给中国互联网提出了新的考验——用户的网络虚拟资产正在受到威胁。
也就在2004和2005这两年之间,灰鸽子逐步进入了成熟的状态,由于源码的释放,大量变种在互联网中衍生。2004年灰鸽子总共发现了1000多变种,而在2005年,这个数字迅速上升到了3000多。“灰鸽子”最大的危害在于替伏在用户系统中,由于其使用的“反弹端口”原理,一些在局域网(企业网)中的用户也受到了“灰鸽子”的侵害,使得受害用户数大大提高,2004年的感染统计表现为103483人,而到2005年数字攀升到890321人。“灰鸽子”本身所具备的键盘记录、屏幕捕捉、文件上传下载和运行、摄像头控制等功能,将使用户没任何隐私可言,更可怕的是服务端高度隐藏自己,是受害者无从得知感染此病毒。
2005年,金山毒霸针对病毒泛滥,特别是像“灰鸽子”这样一类恶性木马,采取了严打的措施,提高病毒库升级周期,加强应急处理流程,而在技术上积极研究对策,最大限度的减少“灰鸽子”给用户带来的危害。
全民黑客时代(2006年-2007年)
2006年,电脑病毒呈爆炸式增长,360云安全中心共截获新增病毒样本总计681428种,其中木马病毒新增数占总病毒新增数的73%,高达175313种;随着计算机技术的普及,由于制作工具的泛滥,病毒变种增多病毒的制作也逐渐呈现商业化的运作。某些制作者小组甚至可以根据使用者的要求为其提供针对特定目标的专门版本。病毒程序的模块化使得病毒制作的门槛降低,很多具备一定计算机知识的用户可以根据自己的需要对其自行组合。因此2006年病毒的变种迅速增加,以典型的“灰鸽子”木马为例,高峰时期几乎每天增加10余个不同变种,迄今为止共出现了6万余种变种,并连续三年荣登国内10大病毒排行榜。而且这类木马往往通过自我升级功能频繁的进行更新以对抗反病毒软件。
2007年2月23日,灰鸽子2007 beta2版本发布。该版本的隐形性更强,可以任意插入常见的程序,比如QQ,下载工具等等,程序性能也得到提升,可以同时监视多个目标主机,并对远程监视的计算机进行如下操作:编辑注册表;上传下载文件;查看系统信息、进程、服务;查看操作窗口、记录键盘、修改共享、开启代理服务器、命令行操作、监视远程屏幕、操控远程语音视频设备、关闭、重启机器等。而由于灰鸽子采取了直接进程注入方式,利用HOOK API的方式实现病毒文件及病毒进程的隐藏,所有盗取用户信息的操作,远程计算机的操作人员可能毫不知情。
发展到今天,灰鸽子已经不仅仅是一个病毒如此简单,其背后已经形成了一条黑色的产业链条,任何一个网络菜鸟都可以通过购买灰鸽子病毒、拜灰鸽子高手为师而成为黑客,可以说,灰鸽子病毒演变到今天,已经催生了全民黑客时代的到来。
普通网民很难了解到在他们的生活之外竟然有一个如此完整的制造、贩卖病毒的“生态圈”。浏览各大网络论坛,购买、出售灰鸽子木马的人比比皆是,而购买灰鸽子教程、批量出售被灰鸽子控制的“肉鸡”、企图利用灰鸽子进行不法勾当的人更是数不胜数。尤其是伴随着灰鸽子2007的推出,这种不正之风正在互联网迅速蔓延,灰鸽子的猖獗已经到了不得不管的地步!
网络传播
用户反映他的电脑感染了一个叫“灰鸽子”的变种病毒,而且用最新病毒库的杀毒软件杀毒后病毒仍然会出现,他周围也有朋友反映遇到了这种情况,现在他的电脑运行十分缓慢,CPU占用率常常达到100%,而且CMD命令Netstat -an查看端口中常常会出现一个莫名端口为“8000” (灰鸽子默认端口)。江民反病毒专家介绍,他们近期也接到了大量的用户上报,江民病毒实时监控系统监测的情况,“灰鸽子”病毒及其变种正在网上加速传播,该病毒在每周十大病毒排行中位居首位,并以每天十几个变种的速度加速传播。江民反病毒专家介绍,“灰鸽子”变种病毒运行后,会自我复制到Windows目录下,并自行将安装程序删除。修改注册表,将病毒文件注册为服务项实现开机自启。病毒程序还会注入所有的进程中,隐藏自我,防止被杀毒软件查杀。自动开启IE浏览器,以便与外界进行通信,侦听黑客指令,在用户不知情的情况下连接黑客指定站点,盗取用户信息、下载其它特定程序。
专家介绍,正是由于“灰鸽子”变种主程序一般是隐藏的,该文件在正常模式下不易被杀毒软件查杀,而且利用一些加壳工具可以十分容易地对其进行修改,从而轻易生成新变种,绕过杀毒软件查杀(黑客界称之为免杀技术,免杀指防止被杀毒软件进行查杀)。李先生遇到的问题原因也正在这里,由于病毒变种十分迅速,杀毒软件需要不停地进行病毒库升级,如果用户遇到的是一个没有加到杀毒软件病毒库的新病毒,那么就会出现杀不掉的现象,另外一些杀毒软件对于隐藏进程的病毒查杀效果较差,也可能出现类似问题。
反灰鸽子
对于灰鸽子给社会带来的种种危害,国内也有部分的团队组织反灰鸽子,那么对灰鸽子做一系列的剿匪,
主要的反灰鸽子组织有,唯特科技,黑客基地等,其中的唯特科技出版了很多预防灰鸽子的视频教程,建议网民多关注。
其他资料
第二代灰鸽子
小鬼远控是一个专业的远程文件管理与桌面管理软件,它有多样功能供你使用;可以在远程计算机上新建文件夹、文件复制、上传下载文件、重命名、删除文件和文件夹、本地/远程打开文档或运行程序。支持远程命令提示符、远程屏幕截图、远程进程管理、观看/接管远程桌面,下载文件支持断点续传。两种支持方式供你灵活选择临时支持方式适宜暂时使用、试用,方便快捷,无需设置;专用支持方式适宜长期使用,稳定可靠,可以在局域网内访问另一个局域网内的计算机。先进技术为你保障,UDP通信方式与P2P连接技术的结合,可以适应各种网络环境,不易受防火墙及网络结构影响,保证百分之百的远程计算机都可以访问。
病毒:木马病毒,通过网络传播。
依赖系统: WIN9X/NT/2000/XP。
病毒会将自己拷贝到系统目录下命名为:Iexplorer.exe,然后在注册表的自启动项中添加“Internet Explorer”的病毒键值。运行时会每隔一分钟就连接一次病毒网站,并与病毒作者进行沟通,企图控制用户的电脑,给用户带来损失。
反病毒专家建议:建立良好的安全习惯,不打开可疑邮件和可疑网站;关闭或删除系统中不需要的服务;很多病毒利用漏洞传播,一定要及时给系统打补丁;安装专业的防毒软件进行实时监控,平时上网的时候一定要打开防病毒软件的实时监控功能。 删除办法:启动360安全卫士,点系统启动项,在里面找到Iexplorer.exe,点禁止。病毒自己就不会打开了。
主要功能
个人版小鬼远程控制软件支持三种使用方式:临时支持方式、动态域名支持方式和专用支持方式。
其中,专用支持方式是由我们提供的,专用于的支持方式。因为是由我们提供的,比起其它的支持方式更加稳定可靠!并且提供了局域网内的计算机访问外网的功能(能够内网到外网,内网到内网)全部软件支持Windows 7与Vista操作系统(包括32位、64位版本)以及联通、移动、电信、铁通 、3G无线网络使用·(总之 ,只要有网络的计算机就能正常使用)。
主要特点
小鬼远程控制软件是一个专业级的远程文件访问工具,具有以下特点:
1.针对磁盘文件系统:本软件针对远程文件访问,而不是远程控制,力求“专而精”。并高度模枋 Windows 资源管理器,简单易用,我们的目标是使访问远程驱动器就象访问本地的一样方便。
2.强大的文件操作功能:可对本地及远程驱动器进行:新建文件、新建文件夹、查找文件、剪切、复制、粘贴(包括:本地文件操作、上传、下载、同远程主机的文件复制与移动)、本地运行、远程运行、重命名、删除、查看、修改驱动器属性、修改文件属性等操作,支持断点续传,并且所有操作均支持多选及文件夹操作。
3.运用了“反弹端口原理”与“HTTP 隧道技术”
“反弹端口原理”:由服务端主动连接客户端,因此在互联网上可以访问到局域网里通过 NAT 代理(透明代理)上网的电脑,并且可以穿过防火墙(包括:包过滤型及代理型防火墙)。
“HTTP隧道技术”:把所有要传送的数据全部封装到 HTTP 协议里进行传送,因此在互联网上可以访问到局域网里通过 HTTP、SOCKS4/5 代理上网的电脑,而且也不会有什么防火墙会拦截。
所以,本软件支持所有的上网方式,既“只要能浏览网页的电脑,都能访问!”。本软件可以访问以下上网方式的电脑:拨号上网、ISDN、ADSL、DDN、Cable Modem、NAT 透明代理、HTTP 的 GET 型代理、HTTP 的 CONNECT 型代理、SOCKS4 代理、SOCKS4A 代理、SOCKS5 代理。
4.先进的服务端上线通知功能
服务端通过 UDP 协议发消息给客户端,在“服务端在线列表”里可以看到服务端的主机名、互联网的IP地址、局域网的IP地址、地址位置、上线时间、在线时长,所有信息一目了然,实时性高、安全可靠,是 Email 通知方式所不能比的。而且还有运用了“HTTP 隧道技术”的服务端上线通知功能。
5.所有公开的数据均用 RSA 数据加密
注:软件使用前,使用者需提供一个主页空间供它使用,主页空间申请方法请看 Readme.txt。
软件原理:此类软件被统称为远程控制类软件(或黑客软件、木马软件),它们均为 C/S 结构(Client/Server,客户机/服务器)。软件分为客户端与服务端两部分,客户端即为控制端(由控制者使用),服务端为被控制端(由被控制者使用),依据服务端运行时是否会显示明显的运行标志(即对方是否知道它运行有服务端),可分为正邪两派,邪派就是传说中的黑客软件、特洛伊木马程序,是各大杀毒软件的首要目标。同类软件原理服务端运行后,会在本机打开一个网络端口监听客户端的连接(时刻等待着客户端的连接),连接建立后,客户端可用这个通道向服务端发送命令并接收返回数据,即可实现远程访问。
相关原理
a.“反弹端口原理”简介
如果对方装有防火墙,客户端发往服务端的连接首先会被服务端主机上的防火墙拦截,使服务端程序不能收到连接,软件不能正常工作。同样,局域网内通过代理上网的电脑,因为是多台共用代理服务器的IP地址,而本机没有独立的互联网的IP地址(只有局域网的IP地址),所以也不能正常使用。就是说传统型的同类软件不能访问装有防火墙和在局域网内部的服务端主机。但往往是道高一尺、魔高一丈,不知哪位高人分析了防火墙的特性后发现:防火墙对于连入的连接往往会进行非常严格的过滤,但是对于连出的连接却疏于防范。于是,与一般的软件相反,反弹端口型软件的服务端(被控制端)主动连接客户端(控制端),为了隐蔽起见,客户端的监听端口一般开在80(提供HTTP服务的端口),这样,即使用户使用端口扫描软件检查自己的端口,发现的也是类似 TCP UserIP:1026 ControllerIP:80 ESTABLISHED 的情况,稍微疏忽一点你就会以为是自己在浏览网页(防火墙也会这么认为的)。看到这里,也许有人会问:既然不能直接与服务端通信,那如何告诉服务端何时开始连接自己呢?答案是:通过主页空间上的文件实现的,当客户端想与服务端建立连接时,它首先登录到FTP服务器,写主页空间上面的一个文件,并打开端口监听,等待服务端的连接,服务端定期用HTTP协议读取这个文件的内容,当发现是客户端让自己开始连接时,就主动连接,如此就可完成连接工作。本软件用的就是这种“反弹端口”原理,可以穿过防火墙,甚至还能访问局域网内部的电脑。据作者所知,在同类软件中,本软件是唯一使用这种方法的,祝贺你!你幸运的选择了它。
b.“HTTP 隧道技术”简介
简单的来说,就是把所有要传送的数据全部封装到 HTTP 协议里进行传送,就可以通过 HTTP、SOCKS4/5 代理,而且也不会有什么防火墙会拦截。我们都知道其它木马只能访问拨号上网的服务端,而因为网络神偷使用了“反弹端口原理”所以它不仅能访问拨号上网的服务端,更可以访问局域网里通过 NAT 代理(透明代理)上网的服务端。而使用“HTTP 隧道技术”以后,它甚至可以访问到局域网里通过 HTTP、SOCKS4/5 代理上网的服务端。这样,网络神偷就几乎支持了所有的上网方式,也就是说“只要能浏览网页的电脑,网络神偷都能访问!”。网络神偷服务端支持以下上网方式:拨号上网、ISDN 、ADSL 、DDN 、Cable Modem 、NAT透明代理、HTTP的GET型代理、HTTP的CONNECT型代理、SOCKS4 代理、SOCKS4A 代理、SOCKS5 代理 ,上述上网方式下,均可正常工作。
上线通知原理:互联网如此之大,覆盖全球,我们如何标识并找到上面的任何一台电脑呢?答案是:IP地址,每台连网电脑都会被分配一个IP地址,这个IP地址是全球唯一的,就象你家的门牌号码,别人可以根据这个找到你。同样,IP地址分配是有规律的,可以根据IP地址分配表查出相应的地理位置(本软件内置IP地址分配表)。现在大多数互联网用户是拨号上网的,拨号上网的IP地址是由ISP(互联网接入服务提供商,例如163、169)动态分配的。两台电脑想要连接就必须要知道对方的IP地址,就象想去你家串门就必须知道你的住址。因此,服务端如何把自己的IP地址告诉客户端就成了一个大问题,也就是服务端上线通知。
现在最常用的方法是Email通知,即服务端上网后,发送自己的IP地址到事先指定的邮箱,客户端使用者只要去收信就行了。这种方面虽然最常用,但有很大不足,首先Email的实时性得不到保证,时慢时快,这与发信服务器的线路质量有很大关系。其次,现在越来越多的发信服务器设了“发信认证”功能,发信也要邮箱的密码(原来只有收信才要),这就给服务端发信增加了困难,服务端不带密码无法发送,带密码则有可能被别人破出来。
本软件用的是另一种更先进的方法:UDP通知,客户端上网后,会将自己的IP地址写到主页空间的指定文件里,服务端定期读取这个文件的内容,就可得到客户端的IP地址,并将自己的一些其它信息(主机名、IP地址、上线时间等等)用UDP协议发送给客户端。客户端接收后,将数据解释并显示在“服务端在线列表”里,服务端情况一目了然。可能有人会担心,主页空间上的文件谁都可以访问(就象浏览网页),自己的IP地址会不会让别人看到?这个问题作者当然已经想到,所有可能被别人看到的数据(包括主页空间上的)都已经加密了,就算别人拿到了也没用。而且数据加密密码是由用户自行设置的,就连软件作者也无法破解。还有运用了“HTTP 隧道技术”的服务端上线通知功能,即如果服务端是通过 HTTP、SOCKS4/5 代理上网的,无法再使用 UDP 上线通知方法,它就会自动使用“HTTP 隧道技术”的上线通知方法:先用“HTTP 隧道技术”与客户端建立一条 TCP 连接,以后每分钟再通过此连接向客户端发送上线通知数据。(“HTTP 隧道”主机的图标与普通主机不同,图标前面增加了一个金黄色的小管道)
经济效益
360pskdocImg_3_xyz黑客可以在灰鸽子工作室的网站上花100元下载灰鸽子,在网上花200元就可以找师傅学灰鸽子。
使用技巧
黑客一天可以控制上百个用户,网民称之“肉鸡”。据黑客王某说,他一天可以抓200只鸡,在江浙发达地区的肉鸡可以一只卖3至4块,普通地区卖1块,一天盗几十个号,好号可以卖几十元甚至1000元,普通的也能是几块钱。
平均价格
每月3000元,据王某称这还是小的,有的黑客甚至一月上万元。
个别有不良思想的公司会请黑客们入侵另一家公司,攻击或者窃取资料,然后会付给一些报酬。网上也会有一些人想要“逗逗”朋友或者其他用途,都想恶作剧。常常造成严重的后果。
变种来袭
特性
国家计算机病毒应急处理中心通过对互联网的监测发现,出现了“灰鸽子”的新变种。专家指360pskdocImg_4_xyz出,该变种在受感染计算机系统中运行后,会将病毒文件复制到系统的指定目录下,并将文件属性设置。
杀毒技巧
为只读、隐藏或存档,使得计算机用户无法发现并删除。该变种还会修改受感染系统注册表中的启动项,使得变种随计算机系统启动而自动运行。
另外,该变种还会在受感染操作系统中创建新的IE进程,并设置其属性为隐藏,然后将病毒文件自身插入到该进程中。如果恶意攻击者利用该变种入侵感染计算机系统,那么受感染的操作系统会主动连接互联网络中指定的服务器,下载其他病毒、木马等恶意程序,同时恶意攻击者还会窃取计算机用户的键盘操作信息(如:登录账户名和密码信息等),最终造成受感染的计算机系统被完全控制,严重威胁到计算机用户的系统和信息安全。
手工检测
由于灰鸽子拦截了API调用,在正常模式下服务端程序文件和它注册的服务项均被隐藏,也就是说你即使设置了“显示所有隐藏文件”也看不到它们。此外,灰鸽子服务端的文件名也是可以自定义的,这都给手工检测带来了一定的困难。
但是,通过仔细观察我们发现,对于灰鸽子的检测仍然是有规律可循的。从上面的运行原理分析可以看出,无论自定义的服务器端文件名是什么,一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点,我们可以较为准确手工检测出灰鸽子 服务端。
360pskdocImg_5_xyz由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模式下进行。进入安全模式的方法是:启动计算机,在系统进入Windows启动画面前,按下F8键(或者在启动计算机时按住Ctrl键不放),在出现的启动选项菜单中,选择“Safe Mode”或“安全模式”。
1、由于灰鸽子的文件本身具有隐藏属性,因此要设置Windows显示所有文件。打开“我的电脑”,选择菜单“工具”—》“文件夹选项”,点击“查看”,取消“隐藏受保护的操作系统文件”前的对勾,并在“隐藏文件和文件夹”项中选择“ 显示所有文件和文件夹”,然后点击“确定”。
2.打开Windows的“搜索文件”,文件名称输入“_hook.dll”,搜索位置选择Windows的安装目录(默认98/xp为C:windows,2k/NT为C:Winnt)。
3.经过搜索,我们在Windows目录(不包含子目录)下发现了一个名为Game_Hook.dll的文件。
4.根据灰鸽子原理分析我们知道,如果Game_Hook.DLL是灰鸽子的文件,则在操作系统安装目录下还会有Game.exe和Game.dll文件。打开Windows目录,果然有这两个文件,同时还有一个用于记录键盘操作的GameKey.dll文件。
经过这几步操作我们基本就可以确定这些文件是灰鸽子 服务端了,下面就可以进行手动清除。
手工清除
经过上面的分析,清除灰鸽子就很容易了。清除灰鸽子仍然要在安全模式下操作,主要有两步:
1.清除灰鸽子的服务;
2.删除灰鸽子程序文件。
注意:为防止误操作,清除前一定要做好备份。
(一)、清除灰鸽子的服务360pskdocImg_6_xyz注意清除灰鸽子的服务一定要在注册表里完成,对注册表不熟悉的网友请找熟悉的人帮忙操作,清除灰鸽子的服务一定要先备份注册表,或者到纯DOS下将注册表文件更名,然后再去注册表删除灰鸽子的服务。因为病毒会和EXE文件进行关联
2000/XP系统:
1.打开注册表编辑器(点击“开始”-》“运行”,输入“Regedit.exe”,确定。),打开 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices注册表项。
2.点击菜单“编辑”-》“查找”,“查找目标”输入“game.exe”,点击确定,我们就可以找到灰鸽子的服务项(此例为Game_Server,每个人这个服务项名称是不同的)。
3.删除整个Game_Server项。
98/me系统:
在9X下,灰鸽子启动项只有一个,因此清除更为简单。运行注册表编辑器,打开HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun项,我们立即看到名为Game.exe的一项,将Game.exe项删除即可。
(二)、删除灰鸽子程序文件
删除灰鸽子程序文件非常简单,只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件,然后重新启动计算机。至此,灰鸽子VIP 2005 服务端已经被清除干净。
以上介绍的方法适用于我们看到的大部分灰鸽子木马及其变种,然而仍有极少数变种采用此种方法无法检测和清除。同时,随着灰鸽子新版本的不断推出,作者可能会加入一些新的隐藏方法、防删除手段,手工检测和清除它的难度也会越来越大。
四、防止中灰鸽子病毒需要注意的事项
1. 给系统安装补丁程序。通过Windows Update安装好系统补丁程序(关键更新、安全更新和Service pack),其中MS04-011、MS04-012、MS04-013、MS03-001、MS03-007、MS03-049、MS04-032等都被病毒广泛利用,是非常必要的补丁程序360pskdocImg_7_xyz2. 给系统管理员帐户设置足够复杂足够强壮的密码,最好能是10位以上,字母+数字+其它符号的组合;也可以禁用/删除一些不使用的帐户
3. 经常更新杀毒软件(病毒库),设置允许的可设置为每天定时自动更新。安装并合理使用网络防火墙软件,网络防火墙在防病毒过程中也可以起到至关重要的作用,能有效地阻挡自来网络的攻击和病毒的入侵。部分盗版Windows用户不能正常安装补丁,这点也比较无奈,这部分用户不妨通过使用网络防火墙来进行一定防护
4. 关闭一些不需要的服务,条件允许的可关闭没有必要的共享,也包括C$、D$等管理共享。完全单机的用户可直接关闭Server服务。
. 下载HijackThis扫描系统
与“熊猫烧香”病毒的“张扬”不同,“灰鸽子”更像一个隐形的贼,潜伏在用户“家”中,监视用户的一举一动,甚至用户与MSN、QQ好友聊天的每一句话都难逃“鸽”眼。专家称,“熊猫烧香”还停留在对电脑自身的破坏,而“灰鸽子”已经发展到对“人”的控制,而被控者却毫不知情。从某种意义上讲,“灰鸽子”的危害及危险程度超出“熊猫烧香”10倍。
“灰鸽子”如何控制电脑牟利
“黑客培训班”教网民通过“灰鸽子”控制别人电脑,“学费”最高200元,最低需要50元,学时一周到一个月不等。
黑客通过程序控制他人电脑后,将“肉鸡”倒卖给广告商,“肉鸡”的价格在1角到1元不等。资深贩子一个月内可以贩卖10万个“肉鸡”。
被控制电脑被随意投放广告,或者干脆控制电脑点击某网站广告,一举一动都能被监视。
直接把文件的路径复制到 Killbox里删除
通常都是下面这样的文件 “服务名”具体通过HijackThis判断
C:windows服务名.dll360pskdocImg_8_xyzC:windows服务名.exe
C:windows服务名.bat
C:windows服务名key.dll
C:windows服务名_hook.dll
C:windows服务名_hook2.dll
举例说明:
C:WINDOWSsetemykey.dll
C:WINDOWSsetemy.dll
C:WINDOWSsetemy.exe
C:WINDOWSsetemy_hook.dll
C:WINDOWSsetemy_hook2.dll
用Killbox删除那些木马文件,由于文件具有隐藏属性,可能无法直接看到,但Killbox能直接删除. 上面的文件不一定全部存在,如果Killbox提示文件不存在或已经删除就没关系了
灰鸽子自身并不具备传播性,一般通过捆绑的方式进行传播。灰鸽子传播的四大途径:网页传播、邮件传播、IM聊天工具传播、非法软件传播。
1.网页传播:病毒制作者将灰鸽子病毒植入网页中,用户浏览即感染;
2.邮件传播:灰鸽子被捆绑在邮件附件中进行传播;360pskdocImg_9_xyz3.IM聊天工具传播:通过即时聊天工具传播携带灰鸽子的网页链接或文件。
4.非法软件传播:病毒制作者将灰鸽子病毒捆绑进各种非法软件,用户下载解压安装即感染。
以上他们做了命名规则解释,去下载一个木马杀客灰鸽子专杀,清理完后 需要重新启动计算机 服务停止 然后去找那些残留文件,参见上面回答者
软件名称:灰鸽子(Huigezi、Gpigeon)专用检测清除工具
界面语言:简体中文
软件类型:国产软件
运行环境:/Win9X/Me/WinNT/2000/XP/2003
授权方式:免费软件
软件大小:414KB
软件简介:由灰鸽子工作室开发的,针对灰鸽子专用清除器!可以清除VIP2005版灰鸽子服务端程序(包括杀毒软件杀不到的灰鸽子服务端)和灰鸽子 [辐射正式版] 和 DLL版服务端 牵手版服务端
运行DelHgzvip2005Server.exe文件清除VIP2005版灰鸽子服务端程序,运行un_hgzserver.exe文件清除灰鸽子 [辐射正式版] 和 DLL版服务端 牵手版服务
公告声明
灰鸽子工作室于2003年初成立,定位于远程控制、远程管理、远程监控软件开发,主要产品为灰鸽子远程控制系列软件产品。灰鸽子工作室的软件产品,均为商业化的远程控制软件,主要提供给网吧、企业及个人用户进行电脑软件管理使用;灰360pskdocImg_10_xyz鸽子软件已获得国家颁布的计算机软件著作权登记证书,受著作权法保护。
然而,我们痛心的看到,目前互联网上出现了利用灰鸽子远程管理软件以及恶意破解和篡改灰鸽子远程管理软件为工具的不法行为,这些行为严重影响了灰鸽子远程管理软件的声誉,同时也扰乱了网络秩序。这完全违背了灰鸽子工作室的宗旨和开发灰鸽子远程管理软件的初衷。在此我们呼吁、劝告那些利用远程控制技术进行非法行为的不法分子应立即停止此类非法活动。
应该表明的是,灰鸽子工作室自成立以来恪守国家法律和有关网络管理的规定,具有高度的社会责任感。为有效制止不法分子非法利用灰鸽子远程管理软件从事危害社会的非法活动,在此,我们郑重声明,自即日起决定全面停止对灰鸽子远程管理软件的开发、更新和注册,以实际行动和坚定的态度来抵制这种非法利用灰鸽子远程管理软件的不法行为,并诚恳接受广大网民的监督。
灰鸽子工作室谴责那些非法利用远程控制技术实现非法目的的行为,对于此类行为,灰鸽子工作室发布了灰鸽子服务端卸载程序,以便于广大网民方便卸载那些被非法安装于自己计算机的灰鸽子服务端。
工作室名
灰鸽子工作室于2003年 初成立,定位于远程控制,远程管理,远程监控软件开发,主要产品为灰鸽子远程控制系列,2005年6月,360pskdocImg_11_xyz正式推出使用驱动技术捕获屏幕的远程控制软件,捕获屏幕速度开始超越国外远程控制软件,灰鸽子开始被喻为远程控制的代名词。我们希望,用我们的技术和经验,打造出最好的远程控制软件,推动远程控制技术的发展!
2007年3月21日
灰鸽子工作室成员介绍
葛军:2003年初,与好友黄土平创建了灰鸽子工作室。2001年挺进版率先在远程控制软件上开发和使用了反弹连接技术。
黄土平:2003年初,与好友葛军创建了灰鸽子工作室。
灰鸽子是同类软件的祖先。
