灰鸽子病毒 灰鸽子 灰鸽子-病毒机理,灰鸽子-病毒发展

灰鸽子(Huigezi),它的功能十分强大,原本该软件适用于公司和家庭管理,但因早年软件设计缺陷,被黑客恶意使用,曾经被误认为是一款集多种控制方式于一体的木马程序。灰鸽子可高清捕获远程电脑屏幕,还能监控被控电脑上的摄像头,自动开机(不开显示器)并利用摄像头进行录像,获取被控端电脑内的文件,获取聊天记录,邮件内容等。截至2006年底,“灰鸽子”木马已经出现了6万多个变种。客户端简易便捷的操作使刚入门的初学者都能充当黑客。当使用在合法情况下时,灰鸽子是一款优秀的远程控制软件。但如果拿它做一些非法的事,灰鸽子就成了很强大的黑客工具。灰鸽子的原作者葛军已经停止对其开发。2013年起,灰鸽子相关(TM)商标由潍坊灰鸽子安防工程有限公司注册。意在将灰鸽子开发成为一款合理的正规的远程控制软件。

灰鸽子病毒_灰鸽子 -病毒机理

病毒构成

配置出来的服务端文件文件名为G_Server.exe(这是默认的,当然也可以改变)。然后骇客利用一切办法诱骗用户运行G_Server.exe程序。

运行过程


灰鸽子界面G_Server.exe运行后将自己拷贝到Windows目录下(98/xp下为系统盘的windows目录,2k/NT下为系统盘的Winnt目录),然后再从体内释放G_Server.dll和G_Server_Hook.dll到windows目录下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端, G_Server_Hook.dll负责隐藏灰鸽子。通过截获进程的API调用隐藏灰鸽子的文件、服务的注册表项,甚至是进程中的模块名。截获的函数主要是用来遍历文件、遍历注册表项和遍历进程模块的一些函数。所以,有些时候用户感觉中了毒,但仔细检查却又发现不了什么异常。有些灰鸽子会多释放出一个名为G_ServerKey.dll的文件用来记录键盘操作。注意,G_Server.exe这个名称并不固定,它是可以定制的,比如当定制服务端文件名为A.exe时,生成的文件就是A.exe、A.dll和A_Hook.dll。

Windows目录下的G_Server.exe文件将自己注册成服务(9X系统写注册表启动项),每次开机都能自动运行,运行后启动G_Server.dll和G_Server_Hook.dll并自动退出。G_Server.dll文件实现后门功能,与控制端客户端进行通信;G_Server_Hook.dll则通过拦截API调用来隐藏病毒。因此,中毒后,看不到病毒文件,也看不到病毒注册的服务项。随着灰鸽子服务端文件的设置不同,G_Server_Hook.dll有时候附在Explorer.exe的进程空间中,有时候则是附在所有进程中。

灰鸽子病毒_灰鸽子 -病毒发展

诞生期

自2001年,灰鸽子诞生之日起,就被反病毒专业人士判定为最具危险性的后门程序,并引发了安全领域的高度关注。2004年、2005年、2006年,灰鸽子木马连续三年被国内各大杀毒厂商评选为年度十大病毒,灰鸽子也因此声名大噪,逐步成为媒体以及网民关注的焦点。
灰鸽子自2001年出现至今,主要经历了模仿期、飞速发展期以及全民骇客时代三大阶段。
灰鸽子2011出现变种。服务端加壳之后仅有70kb,比葛军的灰鸽子小了近10倍。国家多线程上线分组。可视化远程开户。可以躲过主流管理员的检测方式,隐蔽性强。

模仿期

“灰鸽子”是2001年出现的,采用Delphi编写,最早并未以成品方式发布,更多的是以技术研究的姿态,采用了源码共享的方式出现在互联网,至今仍可搜索到“灰鸽子”早期版本的源码。“灰鸽子”在出现的时候使用了当时讨论最多的“反弹端口”连接方式,用以躲避大多数个人网络防火墙的拦截。“灰鸽子”在当时的名气不及“冰河”,因此只出现了少量的感染,但其开放源码的方式也让“灰鸽子”逐渐增大了传播量。灰鸽子出现后以源码开放,所以出现多种不同的版本,由于服务端都以隐藏方式启动,就奠定了其恶意后门木马的地位。

飞速发展期

2004和2005这两年之间,灰鸽子逐步进入了成熟的状态,由于源码的释放,大量变种在互联网中衍生。
2004年灰鸽子总共发现了1000多变种,而在2005年,这个数字迅速上升到了3000多。“灰鸽子”最大的危害在于潜伏在用户系统中,由于其使用的“反弹端口”原理,一些在局域网(企业网)中的用户也受到了“灰鸽子”的侵害,使得受害用户数大大提高,2004年的感染统计表现为103483人,而到2005年数字攀升到890321人。“灰鸽子”本身所具备的键盘记录、屏幕捕捉、文件上传下载和运行、摄像头控制等功能,将使用户没任何隐私可言,更可怕的是服务端高度隐藏自己,是受害者无从得知感染此病毒。

灰鸽子病毒_灰鸽子 -传播方式

灰鸽子自身并不具备传播性,一般通过捆绑的方式进行传播。灰鸽子传播的四大途径:网页传播、邮件传播、IM聊天工具传播、非法软件传播。
1.网页传播:病毒制作者将灰鸽子病毒植入网页中,用户浏览即感染;
2.邮件传播:灰鸽子被捆绑在邮件附件中进行传播;聊天工具传播:通过即时聊天工具传播携带灰鸽子的网页链接或文件。
3.非法软件传播:病毒制作者将灰鸽子病毒捆绑进各种非法软件,用户下载解压安装即感染。

灰鸽子病毒_灰鸽子 -清除预防

手工检测

由于灰鸽子拦截了API调用,在正常模式下服务端程序文件和它注册的服务项均被隐藏,也就是说你即使设置了“显示所有隐藏文件”也看不到它们。此外,灰鸽子服务端的文件名也是可以自定义的,这都给手工检测带来了一定的困难。

但是,通过仔细观察我们发现,对于灰鸽子的检测仍然是有规律可循的。从上面的运行原理分析可以看出,无论自定义的服务器端文件名是什么,一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点,我们可以较为准确手工检测出灰鸽子 服务端。

由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模式下进行。进入安全模式的方法是:启动计算机,在系统进入Windows启动画面前,按下F8键(或者在启动计算机时按住Ctrl键不放),在出现的启动选项菜单中,选择“Safe Mode”或“安全模式”。

1、由于灰鸽子的文件本身具有隐藏属性,因此要设置Windows显示所有文件。打开“我的电脑”,选择菜单“工具”―》“文件夹选项”,点击“查看”,取消“隐藏受保护的操作系统文件”前的对勾,并在“隐藏文件和文件夹”项中选择“ 显示所有文件和文件夹”,然后点击“确定”。

2.打开Windows的“搜索文件”,文件名称输入“_hook.dll”,搜索位置选择Windows的安装目录(默认98/xp为C:windows,2k/NT为C:Winnt)。

3.经过搜索,我们在Windows目录(不包含子目录)下发现了一个名为Game_Hook.dll的文件。

灰鸽子病毒 灰鸽子 灰鸽子-病毒机理,灰鸽子-病毒发展

4.根据灰鸽子原理分析我们知道,如果Game_Hook.DLL是灰鸽子的文件,则在操作系统安装目录下还会有Game.exe和Game.dll文件。打开Windows目录,果然有这两个文件,同时还有一个用于记录键盘操作的GameKey.dll文件。

手工清除

经过上面的分析,清除灰鸽子就很容易了。清除灰鸽子仍然要在安全模式下操作,主要有两步:

1.清除灰鸽子的服务;

2.删除灰鸽子程序文件。

注意:为防止误操作,清除前一定要做好备份。

(一)、清除灰鸽子的服务注意清除灰鸽子的服务一定要在注册表里完成,对注册表不熟悉的网友请找熟悉的人帮忙操作,清除灰鸽子的服务一定要先备份注册表,或者到纯DOS下将注册表文件更名,然后再去注册表删除灰鸽子的服务。因为病毒会和EXE文件进行关联

2000/XP系统:

1.打开注册表编辑器(点击“开始”-》“运行”,输入“Regedit.exe”,确定。),打开 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices注册表项。

2.点击菜单“编辑”-》“查找”,“查找目标”输入“game.exe”,点击确定,我们就可以找到灰鸽子的服务项(此例为Game_Server,每个人这个服务项名称是不同的)。

3.删除整个Game_Server项。

98/me系统:在9X下,灰鸽子启动项只有一个,因此清除更为简单。运行注册表编辑器,打开HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun项,我们立即看到名为Game.exe的一项,将Game.exe项删除即可。

(二)、删除灰鸽子程序文件

删除灰鸽子程序文件非常简单,只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件,然后重新启动计算机。至此,灰鸽子VIP 2005 服务端已经被清除干净。

病毒预防


灰鸽子1.给系统安装补丁程序。通过WindowsUpdate安装好系统补丁程序(关键更新、安全更新和Servicepack),其中MS04-011、MS04-012、MS04-013、MS03-001、MS03-007、MS03-049、MS04-032等都被病毒广泛利用,是非常必要的补丁程序。
2.给系统管理员帐户设置足够复杂足够强壮的密码,最好能是10位以上,字母+数字+其它符号的组合;也可以禁用/删除一些不使用的帐户。
2.经常更新杀毒软件(病毒库),设置允许的可设置为每天定时自动更新。安装并合理使用网络防火墙软件,网络防火墙在防病毒过程中也可以起到至关重要的作用,能有效地阻挡自来网络的攻击和病毒的入侵。部分盗版Windows用户不能正常安装补丁,这点也比较无奈,这部分用户不妨通过使用网络防火墙来进行一定防护。
3.关闭一些不需要的服务,条件允许的可关闭没有必要的共享,也包括C$、D$等管理共享。完全单机的用户可直接关闭Server服务。

灰鸽子病毒_灰鸽子 -公告声明

灰鸽子工作室于2003年初成立,定位于远程控制、远程管理、远程监控软件开发,主要产品为灰鸽子远程控制系列软件产品。灰鸽子工作室的软件产品,均为商业化的远程控制软件,主要提供给网吧、企业及个人用户进行电脑软件管理使用;灰鸽子软件已获得国家颁布的计算机软件着作权登记证书,受着作权法保护。

然而,我们痛心的看到,目前互联网上出现了利用灰鸽子远程管理软件以及恶意破解和篡改灰鸽子远程管理软件为工具的不法行为,这些行为严重影响了灰鸽子远程管理软件的声誉,同时也扰乱了网络秩序。这完全违背了灰鸽子工作室的宗旨和开发灰鸽子远程管理软件的初衷。在此我们呼吁、劝告那些利用远程控制技术进行非法行为的不法分子应立即停止此类非法活动。

应该表明的是,灰鸽子工作室自成立以来恪守国家法律和有关网络管理的规定,具有高度的社会责任感。为有效制止不法分子非法利用灰鸽子远程管理软件从事危害社会的非法活动,在此,我们郑重声明,自即日起决定全面停止对灰鸽子远程管理软件的开发、更新和注册,以实际行动和坚定的态度来抵制这种非法利用灰鸽子远程管理软件的不法行为,并诚恳接受广大网民的监督。

灰鸽子工作室谴责那些非法利用远程控制技术实现非法目的的行为,对于此类行为,灰鸽子工作室发布了灰鸽子服务端卸载程序,以便于广大网民方便卸载那些被非法安装于自己计算机的灰鸽子服务端。

灰鸽子病毒_灰鸽子 -网络传播


灰鸽子

用户反映他的电脑感染了一个叫“灰鸽子”的变种病毒,而且用最新病毒库的杀毒软件杀毒后病毒仍然会出现,他周围也有朋友反映遇到了这种情况,现在他的电脑运行十分缓慢,CPU占用率常常达到100%。

“灰鸽子”病毒及其变种正在网上加速传播,该病毒在每周十大病毒排行中位居首位,并以每天十几个变种的速度加速传播。江民反病毒专家介绍,“灰鸽子”变种病毒运行后,会自我复制到Windows目录下,并自行将安装程序删除。修改注册表,将病毒文件注册为服务项实现开机自启。病毒程序还会注入所有的进程中,隐藏自我,防止被杀毒软件查杀。自动开启IE浏览器,以便与外界进行通信,侦听黑客指令,在用户不知情的情况下连接黑客指定站点,盗取用户信息、下载其它特定程序。

正是由于“灰鸽子”变种主程序一般是隐藏的,该文件在正常模式下不易被杀毒软件查杀,而且利用一些加壳工具可以十分容易地对其进行修改,从而轻易生成新变种。

  

爱华网本文地址 » http://www.aihuau.com/a/8103410103/88740.html

更多阅读

小儿手足口病防治知识集锦 手足口病防治知识试题

手足口病主要是由肠道病毒引起,4岁以下易得。夏秋之交都有发病,9月是高峰期,典型的起病过程是中等热度发热(体温在39℃以下),进而出现咽痛,幼儿表现为流口水、拒食,嗓子里还有一些小水泡,没有并发症的患儿,一周左右即可痊愈。少数患儿有神经

安全生产风险防控手册 手口足病完全防控手册

手足口病(Hand-foot-mouth disease, HFMD)是由多种肠道病毒引起的常见传染病,以婴幼儿发病为主。大多数患者症状轻微,以发热和手、足、口腔等部位的皮疹或疱疹为主要特征。少数患者可并发无菌性脑膜炎、脑炎、急性弛缓性麻痹、呼吸道

声明:《灰鸽子病毒 灰鸽子 灰鸽子-病毒机理,灰鸽子-病毒发展》为网友小爆发分享!如侵犯到您的合法权益请联系我们删除