(电脑报2007年第13期F8/编辑:阿萌)“灰鸽子的危害超出熊猫烧香10倍!”金山总裁冷静的说完这句话后,大家纷纷从熊猫烧香的新闻中回过神来,惊恐的发现这几年来一直有个暗中用木马害着网民的灰鸽子。一个是连续3年登上年度十大病毒“宝座”,被反病毒专家称为最危险的后门程序灰鸽子木马;一个是名声大振,凭借去年年底“优异表现”荣登十大病毒之首的熊猫烧香。
看来姜还是老的辣,灰鸽子难得翻身,乘机鄙视了熊猫烧香一把:这10倍危害可不是说着玩的,做病毒还是低调点好,我不是还活得好好的吗?
唉,熊猫这个痛啊……
国宝“熊猫”、和平“鸽子”和病毒扯上了关系,那就成了网民的大噩梦,不管灰鸽子是不是真的像总裁说的比熊猫烧香毒十倍?!它们谁的破坏性更强、更大?我们让它们互相对比一下就清楚了。
窥视两代毒王灰鸽子背景
一款强大的黑客工具成长经历:2001年~2003年,灰鸽子最早出现的时候是在模仿“冰河”,它开放源码的方式也逐渐增大了传播量;2004年~2005年,受害用户数大大提高;2006年~2007年,灰鸽子木马连续三年荣登国内10大病毒排行榜。
灰鸽子比起前辈冰河、黑洞,可以说是国内后门的集大成者。其丰富强大的功能、灵活多变的操作、良好的隐藏性使其他后门都相形见绌。客户端简易便捷的操作使刚入门的初学者都能充当黑客。而且在使用合法的情况下时,灰鸽子则变身为一款优秀的远程控制软件。
熊猫烧香背景
熊猫烧香病毒其实在2006年11月就已经出现,只是在2007年1月份开始大规模爆发。它是一个感染型的蠕虫病毒,能感染系统中exe、com、pif、src、html、asp等文件,造成用户系统破坏,大量应用软件无法使用,被感染系统中所有exe可执行文件全部被改成熊猫举着三根香的模样;删除扩展名为gho的所有系统备份文件丢失,导致无法进行系统恢复;终止大量反病毒软件进程,降低用户系统的安全性。
它们的相同点:
首先它们都是危害性极大的恶意程序,都给计算机用户带来了极大的危害,比如盗取大量网络游戏、QQ账号的密码;其次它们都可以定时下载全新的变种版本,从而让自身躲过杀毒软件的查杀。
它们的不同点:
灰鸽子自白:1.我是强大的木马,入侵电脑后,只有非常有经验的人用第三方工具才能在电脑中找到我。
2.我的木马并不具备自我复制传播的病毒特性,也不会感染其他的系统文件。呵呵,这正是我不是病毒的重要依据,不懂的人看起来我并没有熊猫烧香厉害,隐藏得好吧。
3.其次我不会主动关闭杀毒软件的进程,虽然黑客完全可以手工关闭。
4.我不但可以盗取用户的账号密码,还可以下载远程文件、开启远程摄像头,这些都是熊猫烧香没有的。
5.我的木马可以架设代理服务器,让远程计算机成为黑客的跳板从而可以方便入侵。
熊猫烧香自白:1.我是本年度长得最可爱的病毒,变种无数,传染性破坏力极强。
2.我会自动删除常用杀毒软件在注册表中的启动项和启动服务,终止杀毒软件的进程。
3.我会修改系统的注册表键值,导致用户不能正常查看隐藏文件和系统文件。
4.我可以通过部分弱口令破解局域网中其他计算机系统中的Administror账号,并利用自身的文件GameSetup.exe在局域网中进行复制传播。
安全专家结论:从上面的对比我们可以看出,灰鸽子木马从它对系统本身的破坏性来说并没有“熊猫烧香”病毒那么厉害。但是从另一个角度来说,由于它具有高度的隐蔽性,并且可以进行大量不为人所知的远程操作,所以它给用户造成的危害是不可估量的,因此从这个角度说其“危害超出熊猫烧香10倍”还是有道理的。
董师傅教你除掉“毒王”
灰鸽子最有效的监测工具:冰刃
灰鸽子木马有大量的隐藏操作,一般用户无法根据进程列表看出它的进程。我们给出最有效的查找方法:同时打开任务管理器和冰刃,比较进程,如果冰刃里多出一个进程,那可能就是灰鸽子木马。或者直接运行冰刃,点击左侧工具栏中的“进程”按钮,很快发现一个被红色标明的IE浏览器进程,这可能也是被灰鸽子木马利用的程序进程。
手工清除灰鸽子
运行《超级巡警》,点击“高级→进程管理”标签,危险的进程以红色进行标注。选中灰鸽子木马进程后,通过右键中的“终止当前进程”命令来对这些进程进行结束。接着点击“服务管理”标签后,通过右键菜单中的“检测隐藏服务”命令,这样被灰鸽子木马隐藏的启动服务就可以立刻现形。然后点击右键菜单的“删除服务”对灰鸽子的启动服务进行删除,最后进入系统的System32目录中删除其中的G_Server2007.exe和G_Server2007.dll这两个文件即可。
手工清除熊猫烧香
首先断开网络,比如禁用网卡或拔掉网线就行;接着结束病毒进程,因为任务管理器、IcdSword已经无法运行,可以通过Process Explorer这款程序来结束;然后通过鼠标右键进入磁盘分区根目录下,将文件setup.exe、autorun.inf删除,同时也将系统目录中的病毒文件Fuckjacks.exe和Driversspoclsv.exe进行删除;再打开注册表编辑器,删除病毒创建的启动项:
[HKEY_CURRENT_USERSoftwareMicrosoftWindows
CurrentVersionRun]
“FuckJacks“=”%System%FuckJacks.exe
[HKEY_LOCAL_MACHINESOFTWAREMicrosoft
WindowsCurrentVersionRun]
“svohost“=”%System%FuckJacks.exe“
同时到HKEY_LOCAL_MACHINESoftware
MicrosoftwindowsCurrentVersionexplorerAdvanced
FolderHiddenSHOWALL,单击鼠标右键“新建→Dword值”,命名为CheckedValue,修改它的键值为
1,以及设置为十六进制后,退出注册表编辑器。
修复或重新安装杀毒软件,以恢复被病毒删除的注册键值,恢复杀毒软件的功能。通过杀毒软件进行全盘扫描,把感染的可执行程序、网页格式的文件修复即可完成熊猫烧香病毒的清除操作。
另外,各个杀毒公司都开发出了最新版本的灰鸽子和熊猫烧香专杀工具,这样就可以轻易的将病毒清除掉。而且大家在清除熊猫烧香的时候最好重启系统到带网络连接的安全模式下,再使用专杀工具进行查杀,而清除灰鸽子木马的时候就不要连接网络。
专杀工具
●灰鸽子
金山:http://duba-011.duba.net/duba/kavtools/
DubaTool_Huigezi.COM
江民:http://download.jiangmin.info/jmsoft/HG
ZKiller.exe
瑞星:http://download.rising.com.cn/zsgj/GPD
etect.exe
灰鸽子官方灰鸽子服务端卸载程序
http://down.huigezi.net/tools/DelHgzALLServ
er.exe
●熊猫烧香
金山:
http://down.www.kingsoft.com/db/download/othertools/DuBaTool_WhBoy.BAT
江民:http://download.jiangmin.info/jmsoft/Viking
Killer.exe
瑞星:http://download.rising.com.cn/zsgj/Nim
ayaKiller.scr
