[转帖]查杀"灰鸽子"木马病毒 Win32.Hack.Hupigon.f.104448
有一个木马病毒比较典型:win32.hack.hupigon.f.104448 ,下面我就讲述如何手动查杀这个病毒。这个木马病毒叫做“灰鸽子”,是最近比较流行的一种远程控制服务端,中招的以后,其他人使用客户端可以进行远程控制,恶意操作将使个人密码被盗、文件恶意删除、甚至分区格式化。
这个病毒样本是使用bt下载的软件压缩包中,伪装成一个补丁程序与主安装程序放在一起的。在此也提醒大家谨慎处理下载后的文件!病毒样本如([color=#6600ff][b]图01[/b][/color])所示:[align=left]
[img]http://zplinux.go3.icpcn.com/img/article_05_201.jpg[/img]
双击运行以后,该病毒样本自动删除掉了。——很多病毒文件都有这个特点。以后如果遇到运行以后没有反应或者文件自动消失的情况,就要提高警惕了。([color=#6600ff][b]图02[/b][/color])
[/align][align=left][img]http://zplinux.go3.icpcn.com/img/article_05_202.jpg[/img]
启动金山毒霸dos版杀毒,在内存中发现14个病毒体,同一个病毒。全部提示查杀失败:delete fail! ([color=#6600ff][b]图03[/b][/color])
[/align][align=left][img]http://zplinux.go3.icpcn.com/img/article_05_203.jpg[/img]
启动process explorer v9.11,根据金山毒霸dos版获取的病毒位置信息,查找对应的文件:c:\windows\g_server_hook.dll,发现几乎所有的进程都被注入了这个动态连接库文件。([color=#6600ff][b]图04[/b][/color])
[/align][align=left][img]http://zplinux.go3.icpcn.com/img/article_05_204.jpg[/img]
既然找到了病毒所在位置,最好的办法自然就是把它删除掉咯!赶紧进入c:\windows\ 目录,没有看到可疑文件。进入"文件夹选项"——"察看"——选中显示所有文件及文件夹,取消隐藏受保护的操作系统文件。依然不见病毒文件的踪迹。
windows不给面子,只好请dos出马了……([color=#6600ff][b]图05[/b][/color])
进入dos窗口,居然找到一个名为g_server.dll的文件,文件名虽然与金山毒霸dos版提示信息不符,但这个文件肯定不是好东西。用del命令删除,居然提示找不到该文件!
我晕 %……*(*—##!·
[/align][align=left][img]http://zplinux.go3.icpcn.com/img/article_05_205.jpg[/img]
此路不通,只好试试金山毒霸dos版显示的病毒文件了,先不管看得到看不到文件,既然杀毒日志记录上显示为:c:\windows\g_server_hook.dll ,就不管三七二十一,拷贝一份出来看看她长什么样子。
拷贝成功了!文件大小为104448字节,没有系统属性和隐藏属性。窃喜中……赶紧去c:\ 看看,居然没踪影!!!([color=#6600ff][b]图06[/b][/color])
第二次狂晕。
[/align][align=left][img]http://zplinux.go3.icpcn.com/img/article_05_206.jpg[/img]
改变策略,采取拷贝并且重命名——成功!([color=#6600ff][b]图07[/b][/color])
[/align][align=left][img]http://zplinux.go3.icpcn.com/img/article_05_207.jpg[/img]
吸取前面的教训,感觉问题不是处在病毒体本身,而是系统中某些设置被恶意修改以至于混乱了——明明显示属性为存档属性(a属性)的文件,居然看不到!明明能够用dir遍历出来的文件,并且可以用attrib查看文件属性为系统、只读、隐藏(srh属性),用del删除居然提示文件不存在!
改用 hijackthis v1.99.exe 检查系统及ie浏览器是否遭到不明飞行物的劫持:果然不出所料,灰鸽子木马病毒以系统服务的形式存在。主程序名称居然是g_server.exe,刚才用dir遍历居然也没有显示出来!!!([color=#6600ff][b]图08[/b][/color])
[/align][align=left][img]http://zplinux.go3.icpcn.com/img/article_05_208.jpg[/img]
赶紧进入系统服务管理程序("开始菜单"——"运行"——"services.msc"——回车),来回巡视了n次,没有看到任何有关gray的系统服务。
进入注册表编辑器("开始菜单"——"运行"——"regedit"——回车),进入系统服务所在位置:
hkey_local_machine\system\currentcontrolset\services\\
终于找到了罪魁祸首:graypigeonserver (图09)[/align][align=left][img]http://zplinux.go3.icpcn.com/img/article_05_209.jpg[/img]
毫不留情,删掉它。重启计算机以后,进入c:\windows\ (图10)
起先捉迷藏的三个病毒文件都显示出来了,无一漏网![/align][align=left][img]http://zplinux.go3.icpcn.com/img/article_05_210.jpg[/img]
用金山毒霸dos版再次扫描,内存中没有病毒在运行,c:\windows\ 目录下的三个病毒文件也顺利清除掉了。至此大功告成,杀毒完毕!([color=#6600ff][b]图11[/b][/color])[/align][align=left][img]http://zplinux.go3.icpcn.com/img/article_05_211.jpg[/img][/align] rhd i gc ka ~! [EM07][EM07][EM03]
页:
[1]