3.7.3 典型病毒介绍：灰鸽子木马病毒

作者: 刘宝旭 蒋文保 王晓箴编著 出处:电子工业出版社博文视点 　2008-05-28 13:54　   砖    好    评论  条 　进入论坛

阅读提示：《黑客入侵的主动防御》第三章主要讲了黑客入侵的传统防御技术，本节是灰鸽子木马病毒介绍.

4．灰鸽子木马病毒

（1）病毒描述

灰鸽子是国内一款著名后门，其丰富而强大的功能、灵活多变的操作、良好的隐藏性使其他后门都相形见绌。“灰鸽子”自2001年诞生之后，2004年、2005年、2006年连续三年被国内杀毒软件厂商列入10大病毒，甚至有些年度位居“毒王”。它的真正可怕之处是拥有“合法”的外衣，可以在网络上买到，客户端简易便捷的操作使刚入门的初学者都能充当黑客。

黑客可以通过此后门远程控制被感染的电脑，在用户毫无察觉的情况下，任意操控用户的电脑，盗取网络游戏密码、银行账号、个人隐私邮件、甚至机密文件等。入侵者在满足自身目的之后，可自行删除灰鸽子文件，受害者根本无法察觉。

灰鸽子远程监控软件分两部分：客户端和服务端。黑客操纵着客户端，利用客户端配置生成出一个服务端程序，名字默认为G_Server.exe。G_Server.exe运行后将自己拷贝到Windows目录下（系统盘的windows目录），然后再从体内释放G_Server.dll和G_Server_Hook.dll到windows目录下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端，有些灰鸽子会多释放出一个名为G_ServerKey.dll的文件用来记录键盘操作。（G_Server.exe这个名称并不固定，它是可以定制的。）

Windows目录下的G_Server.exe文件将自己注册成服务，每次开机都能自动运行，运行后启动G_Server.dll和G_Server_Hook.dll并自动退出。G_Server.dll文件实现后门功能，与控制端客户端进行通信；G_Server_Hook.dll则通过拦截API调用来隐藏病毒，因此中毒后查看不到病毒文件及病毒注册的服务项。随着灰鸽子服务端文件的设置不同，G_Server_Hook.dll有时候附在Explorer.exe的进程空间中，有时候则是附在所有进程中。

（2）病毒的手动清除
 

清除灰鸽子的服务。

打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项，查找“game.exe”，可以找到灰鸽子的服务项如Game_Server，删除整个Game_Server项。

删除灰鸽子程序文件。

在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件，然后重新启动计算机。

（3）防护手段
 

给系统安装补丁程序。如MS04-011、MS04-012、MS04-013、MS03-001、MS03-007、MS03-049、MS04-032等。

给系统管理员账户设置足够复杂足够强壮的密码；禁用/删除一些不使用的账户。

及时更新杀毒软件的病毒库。

关闭一些不需要的服务，条件允许的可关闭没有必要的共享，也包括C＄、D＄等管理共享。完全单机的用户可直接关闭Server服务。

不要随便打开或运行陌生、可疑文件和程序，如邮件中的奇怪附件，外挂程序等。

安装灰鸽子（Huigezi、Gpigeon）专用检测清除工具。

回书目