4.4.4 灰鸽子通用手工查杀方法

4.4.4 灰鸽子通用手工查杀方法

有些人总是想利用灰鸽子做一些非法的事，他们为了避开杀毒软件的查杀，故意给灰鸽子加上各种不同的壳，再加上灰鸽子（Backdoor.Huigezi）不断有新版本问世，虽然一些公司的杀毒软件在不遗余力地收集最新版本的灰鸽子，但由于变种繁多，还会有一些“漏网之鱼”。如果计算机出现灰鸽子症状，但又无法用杀毒软件查杀，那很可能是中了还没有被截获的新变种。此时，需要采用手工的方式查杀灰鸽子。

（1）灰鸽子的运行原理。其实手工清除灰鸽子并不难，首先应该知道灰鸽子的运行原理。

灰鸽子后门（木马）分为客户端和服务端两部分。黑客（其实算不上黑客，本文姑且这样称呼）操纵着客户端，利用客户端配置生成一个服务端程序。服务端文件的名字默认为G_Server.exe（或Server_Setup.exe），然后黑客通过各种渠道传播这个木马，通常就是人们所说的种木马（或者开后门）。其方法很多，比如，将木马与Flash动画绑定，然后把该Flash动画用QQ发送给对方诱骗打开，即可达到种马开后门的目的。

G_Server.exe运行后将自己复制到Windows目录下（当操作系统为Windows 98/Me/XP时是“X:\Windows”；当操作系统为Windows 2000时是

X:\WinNT”目录），然后再释放G_Server.dll和G_Server_Hook.dll到windows目录下。G_Server.exe、G_Server.dll和G_Server_Hook.dll 3个文件相互配合组成了灰鸽子服务端，有些灰鸽子会多释放出一个名为G_ServerKey.dll的文件，用来记录键盘操作。

G_Server.exe这个名称并不固定，它是由黑客任意定制的，例如当定制服务端文件名为ABC.exe时，生成的文件就是ABC.exe、ABC.dll和ABC_Hook.dll。

Windows目录下的G_Server.exe文件将自己注册成服务（Windows 9x系统写注册表启动项），每次开机都能自动运行，运行后启动G_Server.dll和G_Server_Hook.dll并自动退出。G_Server.dll文件实现后门功能，与客户端进行通信；G_Server_Hook.dll则通过拦截API调用来隐藏病毒。因此，中毒后是看不到病毒文件的，也看不到病毒注册的服务项。随着灰鸽子服务端文件的设置不同，G_Server_Hook.dll有时候附在Explorer.exe进程中，有时候则是附在所有进程中。

（2）灰鸽子的手工检测。由于灰鸽子拦截了API调用，在正常模式下木马程序文件和它注册的服务项均被隐藏。换言之，即使设置了“显示所有隐藏文件”也看不到它们。此外，灰鸽子服务端的文件名也是可以自定义的，这都给手工检测带来了一定的困难。

不过，通过仔细观察可以发现，对于灰鸽子的检测仍然是有规律可循的。从上面的运行原理分析可以看出，无论自定义的服务器端文件名是什么，一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点，可以较为准确地手工检测出灰鸽子木马。

由于正常模式下灰鸽子会隐藏自身，因此检测灰鸽子的操作一定要在安全模式下进行。进入安全模式的方法如下。

·启动计算机，在系统进入Windows启动画面前，按下“F8”键（或者在启动计算机时按住“Ctrl”键不放），在出现的启动选项菜单中，选择“Safe Mode”选项（或“安全模式”）。

·打开“我的电脑”，选择“工具→文件夹选项”菜单命令，在“文件夹选项”对话框中选择“查看”选项卡，撤销“高级设置”列表框中的“隐藏受保护的操作系统文件”复选框，并在“隐藏文件和文件夹”选项组合中选择“显示所有文件和文件夹”单选按钮，然后单击“确定”按钮即可（如图4-45所示）。这样，就可以查看到隐藏的灰鸽子文件了。

·选择“开始→搜索”命令，打开“搜索结果”窗口，然后在“您要查找什么？”列表中单击“所有文件或文件夹”，接着在“全部或部分文件名”文本框中输入“_hook.dll”，在“在这里寻找”下拉列表框中选择操作系统所在的盘符。

·经过搜索，在“C：\Windows”目录（不含子目录）下发现了一个名为“Game_Hook.dll”的文件。

·根据灰鸽子工作原理分析可知，如果Game_Hook.DLL是灰鸽子的文件，则在操作系统安装目录下还会有Game.exe和Game.dll文件。打开“C:\Windows”目录，果然有这两个文件，同时还有一个用于记录键盘操作的GameKey.dll文件。

经过以上几步操作，基本上就可以认定这些文件是灰鸽子后门程序了。

（3）灰鸽子的手工清除。既然已经确定了是灰鸽子，清除工作将变得很容易。这项操作仍然要在安全模式下进行，主要有两步：首先清除灰鸽子的服务，然后删除灰鸽子程序文件。

为防止误操作，在清除灰鸽子文件前一定要做好备份。

由于灰鸽子文件是受系统保护的，想要删除这些文件，必须先将对应的服务清除，具体步骤如下：

·在Windows 2000/XP系统中，选择“开始→运行”命令，在“运行”对话框中输入“Regedit.exe”，然后单击“确定”按钮，打开“注册表编辑器”窗口，在左侧窗格中逐级展开“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services”分支。

·选择“编辑→查找”命令，然后在“查找目标”文本框中输入“game.exe”（如图4-46所示），单击“确定”按钮，即可找到灰鸽子的服务项（此例为“Game_Server”）。

图4-46  在注册表编辑器中查找灰鸽子“game.exe”文件

·删除整个“Game_Server”注册表项即可。

在Windows 9x/Me系统中，灰鸽子启动项只有一个，因此清除更为简单。运行注册表编辑器，打开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run项，能立即看到名为Game.exe的一项，将Game.exe项删除即可。

上文已经停止了灰鸽子的服务，这样就给删除灰鸽子文件清除了障碍。删除灰鸽子程序文件非常简单，只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll等文件即可。然后重新启动计算机。至此，灰鸽子已经被清除干净。

本节给出了手工检测和清除灰鸽子的通用方法，适用于大部分灰鸽子木马及其变种。但是，仍有极少数变种采用此种方法无法检测和清除。同时，随着灰鸽子新版本的不断推出，开发者可能会加入一些新的隐藏方法和防删除手段，手工检测和清除它的难度也会越来越大。当确定计算机中了灰鸽子木马而用本节所述的方法又检测不到时，最好找有经验的朋友帮忙解决。