今天早上,一开机,联上网络,我的防病毒软件Symantec Antivirus就上报又发现病毒,名称为Backdoor.Graybird,有的能够提示能够清除成功,有的提示隔离成功,折腾了一番后,我关机重新启动。可是过不了多久,又是报这个病毒,我不由得抱怨起现在病毒的始作俑者。
有了上次Infostealer的惊魂和杀毒经历,这次我镇定了许多。
我启动冰刃,看了一下运行的进程,发现多了几个IEXPLORE的进程,而且还有a.exe这样的进程在运行,我仔细地监视了进程创建的情况,发现是由Explorer.exe运行起的a.exe,而后再创建IEXPLORE,看来病毒是附着在系统进程上了,不好办呀。
我查询了一些查杀灰鸽子病毒的帖子,也熟悉了它的发作原理,看来手工清除不是没有可能。
灰鸽子的运行原理:a.exe运行后将自己拷贝到Windows目录下(xp下为系统盘的windows目录),然后再从体内释放a.dll和a_Hook.dll到windows目录下。A.exe、a.dll和a_Hook.dll三个文件相互配合构成了灰鸽子服务端。据有经验的人士提示,a.exe这个名称并不固定,它是可以定制的或者说可以变化的。
Windows目录下的a.exe文件将自己注册成服务,每次开机都能自动运行,运行后启动a.dll和a_Hook.dll并自动退出。a.dll文件实现后门功能,与控制端客户端进行通信;a_Hook.dll则通过拦截API调用来隐藏病毒。因此,中毒后,我们看不到病毒文件,也看不到病毒注册的服务项。在正常模式下灰鸽子木马程序文件和它注册的服务项均被隐藏,即使设置了“显示所有隐藏文件”也看不到它们。
手工侦测:通过仔细观察我们发现,无论文件名是否是a.exe,一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点,我们可以较为准确手工检测出灰鸽子。我试着在安全模式下再进行侦测。(进入安全模式的方法是:启动计算机,在系统进入Windows启动画面前,按下F8键,在出现的启动选项菜单中,选择“Safe Mode”或“安全模式”。即可)
1、 由于灰鸽子的文件本身具有隐藏属性,因此要设置Windows显示所有文件。打开“我的电脑”,选择菜单“工具”—》“文件夹选项”,点击“查看”,取消“隐藏受保护的操作系统文件”前的对勾,并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”,然后点击“确定”。
2、 打开Windows的“搜索文件”,文件名称输入“_hook.dll”,搜索位置选择Windows的安装目录(xp默认为C:windows)。
3、 经过搜索,我们在Windows目录(不包含子目录)下发现了一个名为mag_Hook.dll的文件。
4、 根据灰鸽子原理分析我们知道,如果mag_Hook.DLL是灰鸽子的文件,则在操作系统安装目录下会有mag.exe,和mag.dll文件。打开Windows目录,果然有这两个文件。真是个百变精灵!
手工清除:清除灰鸽子要在安全模式下操作,主要有两步:1、清除灰鸽子的服务;2删除灰鸽子程序文件。
注意:为防止误操作,清除前一定要做好备份。
1、 打开注册表编辑器(点击“开始”-》“运行”,输入“Regedit.exe”,确定。
2、 点击菜单“编辑”-》“查找”,“查找目标”输入“mag.exe”,点击确定,查找并删除相关项。再依次搜寻mag.dll和mag_hook.dll,删除之。
最后在安全模式下删除Windows目录下的mag.exe、mag.dll、mag_Hook.dll,然后重新启动计算机。正常进入window,用冰刃观察相关进程创建,OK!灰鸽子木马不在出现,看来灰鸽子已经被清除干净。