Quote:
还有一个木马病毒比较典型:Win32.Hack.Hupigon.f.104448 ,下面我就讲述如何手动查杀这个病毒。
这个木马病毒叫做“灰鸽子”,是最近比较流行的一种远程控制服务端,中招的以后,其他人使用客户端可以进行远程控制,恶意操作将使个人密码被盗、文件恶意删除、甚至分区格式化。
这个病毒样本是使用BT下载的软件压缩包中,伪装成一个补丁程序与主安装程序放在一起的。在此也提醒大家谨慎处理下载后的文件!病毒样本如(
图01
)所示:
双击运行以后,该病毒样本自动删除掉了。——很多病毒文件都有这个特点。以后如果遇到运行以后没有反应或者文件自动消失的情况,就要提高警惕了。(
图02
)
启动金山毒霸DOS版杀毒,在内存中发现14个病毒体,同一个病毒。全部提示查杀失败:Delete fail! (
图03
)
启动Process Explorer v9.11,根据金山毒霸DOS版获取的病毒位置信息,查找对应的文件:C:\windows\g_server_hook.dll,发现几乎所有的进程都被注入了这个动态连接库文件。(
图04
)
既然找到了病毒所在位置,最好的办法自然就是把它删除掉咯!赶紧进入C:\Windows\ 目录,没有看到可疑文件。进入"文件夹选项"——"察看"——选中显示所有文件及文件夹,取消隐藏受保护的操作系统文件。依然不见病毒文件的踪迹。
Windows不给面子,只好请DOS出马了……(
图05
)
进入DOS窗口,居然找到一个名为G_Server.dll的文件,文件名虽然与金山毒霸DOS版提示信息不符,但这个文件肯定不是好东西。用Del命令删除,居然提示找不到该文件!
我晕 %……*(*—##!·
此路不通,只好试试金山毒霸DOS版显示的病毒文件了,先不管看得到看不到文件,既然杀毒日志记录上显示为:C:\windows\g_server_hook.dll ,就不管三七二十一,拷贝一份出来看看她长什么样子。
拷贝成功了!文件大小为104448字节,没有系统属性和隐藏属性。窃喜中……赶紧去C:\ 看看,居然没踪影!!!(
图06
)
第二次狂晕。
改变策略,采取拷贝并且重命名——成功!(
图07
)
吸取前面的教训,感觉问题不是处在病毒体本身,而是系统中某些设置被恶意修改以至于混乱了——明明显示属性为存档属性(a属性)的文件,居然看不到!明明能够用dir遍历出来的文件,并且可以用attrib查看文件属性为系统、只读、隐藏(SRH属性),用del删除居然提示文件不存在!
改用 Hijackthis v1.99.exe 检查系统及IE浏览器是否遭到不明飞行物的劫持:果然不出所料,灰鸽子木马病毒以系统服务的形式存在。主程序名称居然是G_Server.exe,刚才用dir遍历居然也没有显示出来!!!(
图08
)
赶紧进入系统服务管理程序("开始菜单"——"运行"——"services.msc"——回车),来回巡视了N次,没有看到任何有关Gray的系统服务。
进入注册表编辑器("开始菜单"——"运行"——"regedit"——回车),进入系统服务所在位置:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
终于找到了罪魁祸首:GrayPigeonServer (图09)
毫不留情,删掉它。重启计算机以后,进入C:\Windows\ (图10)
起先捉迷藏的三个病毒文件都显示出来了,无一漏网!
用金山毒霸DOS版再次扫描,内存中没有病毒在运行,C:\windows\ 目录下的三个病毒文件也顺利清除掉了。至此大功告成,杀毒完毕!(
图11
)
Quote:
"灰鸽子2"和"灰鸽子"木马病毒(Win32.Hack.Hupigon.f.104448,请参见前面的一篇文章)作用原理非常类似,本文就手动清除"灰鸽子2"的问题进行论述:
一、病毒作用机理分析:
【1】双击运行病毒样本,该病毒样本自动删除掉了。病毒释放出两个病毒体:
C:\WINDOWS\g_server2.0.exe 大小:293,376 字节 属性:A-S-R-H
C:\WINDOWS\System32\cpoiuyk.dll 大小:9,728 字节 属性:A-H
【2】在系统服务中添加名为"GrayPigeonServer2.0"的服务项,该服务指向C:\WINDOWS\g_server2.0.exe
【3】在IEXPLORE.EXE进程中注入C:\WINDOWS\System32\cpoiuyk.dll
【4】在注册表中添加下列四项(包含若干子项目,详见下文):
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_GRAYPIGEONSERVER2.0
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_GRAYPIGEONSERVER2.0
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\GrayPigeonServer2.0
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\GrayPigeonServer2.0
下面将病毒测试过程进行截图并加以说明:
运行hijackthis v1.99,发现系统服务中增加了一项 —— (
图01
)
察看进程,发现IEXPLORE.EXE进程中被注入了cpoiuyk.dll —— (
图02
)
进入"文件夹选项",切换到"查看"标签,按照下图所示进行设置 —— (
图03
)
修改察看方式以后就可以在 C:\WINDOWS\ 和 C:\WINDOWS\System32\ 目录下看到上文叙述的病毒体,由于当前病毒正处于激活状态,所以对这两个文件进行操作的话,会提示该文件被锁定。
下面是注册表添加的四个项:
KEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_GRAYPIGEONSERVER2.0 —— (
图04、05、06
)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_GRAYPIGEONSERVER2.0 —— (
图07、08、09
)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\GrayPigeonServer2.0 —— (
图10、11、12
)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\GrayPigeonServer2.0 —— (
图13、14、15
)
二、手动杀毒操作演示:
【1】"开始菜单"——"运行"——"services.msc"——回车,将出现系统服务配置窗口。 —— (
图16
)
【2】找到名为"GrayPigeonServer2.0"的服务项(
图17
),如图所示:启动类型为"自动",状态显示为空白。在该服务项上点击右键,选择"属性"(
图18
),更改启动类型为"已禁用"。点击"确定"以后,重新启动计算机。
【3】重启计算机进入WindowsXP操作界面以后,该病毒处于非激活状态。
这时候可以顺利的删除
C:\WINDOWS\g_server2.0.exe
C:\WINDOWS\System32\cpoiuyk.dll
两个病毒体。
【4】"开始菜单"——"运行"——"regedit"——回车,将出现注册表编辑窗口。
找到下面两项并删除:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\GrayPigeonServer2.0
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\GrayPigeonServer2.0
到这一步,"灰鸽子2"木马病毒已经被顺利手动清除掉了。
〖5〗我们看可以看到,病毒在注册表的下面两个位置也添加了项:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_GRAYPIGEONSERVER2.0
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_GRAYPIGEONSERVER2.0
但是当我们找到这两个键值删除的时候,会显示错误信息对话框 —— (
图19
)
说明:我尝试了使用msconfig.exe配置诊断模式、系统安全模式两种环境下操作,依旧报错。
该项处于锁定状态。
(
百思不得其解,希望高手指点!!!
)
经过测试发现,这两个键值保留在注册表中,不会有影响正常使用,也不会激活病毒。
也许这是杀毒过后残余的系统垃圾吧!
〖6〗抛开现有的WindowsXP操作系统,借助功能强大的光盘版操作系统ERD Commander,
可以很轻易的清除掉这两项注册表项。
但并不是每一个计算机用户都有必要拥有ERD Commander工具光盘。
对于一般用户,建议手动清除"灰鸽子2"木马病毒到本文叙述的第四步就可以了。
对于拥有ERD Commander工具光盘的用户,可以按照下文的方式操作:
重启计算机,更改BIOS设置为从CD-ROM引导计算机,放入ERD Commander光盘,
(这里我采用的是ERD Commander 2005 英文版进行演示)
光盘引导,进入ERD Commander登陆界面 —— (
图20
)
〖7〗选择当前操作系统系统目录,这里是"C:\WINDOWS\",点击"OK"。
引导进入系统以后,点击"Start"——"Administrative Tools"——"regedit", —— (
图21
)
启动注册表编辑窗口,找到下面两项并删除:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_GRAYPIGEONSERVER2.0
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_GRAYPIGEONSERVER2.0
至此,"灰鸽子2"木马病毒已经完全被顺利手动清除掉了。(包括残余垃圾)
