| Steven 的个人资料堕落天使之光辉岁月照片日志列表 |  工具  帮助 |
|
2005/10/11 遭遇灰鸽子 灰鸽子是何方神圣?这里说的可不是灰色的鸽子,而是一个Virus,准确的说是一个木马后门程序。 前天晚上从BT下了一个古装片,是个自解压格式的RAR文件。在解压缩的时候Pc-cillin马上报告发现了WINDOWS目录下一个名为G_Server.exe木马程序并已经将其隔离,当时也没有太在意,上网下载的时候经常可能遇到一些病毒尤其是木马程序的,一般删除或隔离起来不去运行也就好了。可是昨天回到宿舍开启电脑后Pc-cillin开始不停的提示WINDOWS目录下又出现了这个G_Server.exe木马并且被隔离,一条还没有显示完马上又有新记录产生的。我马上点击了Pc-cillin的阻止一切Internet通信(个人觉得这个功能还是比较实用的,可以方便的切断网络防止Hacker攻击),打开任务管理器一看系统中这个G_Server.exe一直在运行。将该进程结束后马上又运行起来一个G_Server.exe。不用说这是一个恶性病毒程序,根据经验判断这种杀不尽的程序一般有两种实现方式:一是病毒在系统中注册了一个服务,该Service不断的运行,发现病毒进程被Kill掉了立刻再将其启动;另一种方式是该病毒同时启动了两个不同的程序,当其中一个程序发现另一个程序进程被Kill掉的时候立刻将其重新启动。我仔细的检查了当时运行的各个程序进程,发现除了这个G_Server.exe外并没有其他的可疑进程(由于平时经常经查注意自己系统中运行的进程,所以这个时候检查起来轻松不少),因此推断这个病毒应该是采用的第一种方式即注册服务来实现的。首先从注册表中检查启动项,发现了一个REGSVR32开头的项目,这个命令我用过,是在Console中注册Service所使用的命令。看了看后面注册的东东从来没有见过,杀无赦!之后又从HKLM\SYSTEM\CurrentControlSet\Services中搜索找到了一个名为G_Server的子项,这个招牌挂的也太明显了吧,怎么说也应该换一个隐蔽性强点的服务名称啊。没什么好说的,立刻将其全部删除。清除掉这些后重启机器进入到安全模式,在WINDOWS目录下一口气发现了G_Server.exe, G_Server.dll, G_Server_Hook.dll和G_ServerKey.dll四个文件,看来它们就是这个病毒的几个主体文件了。全部删除后再次进入XP正常模式,这次Pc-cillin不再报告病毒了,在WINDOWS目录下查杀也没有发现。看来本次“扫黄打非”活动可以告一段落了。 恢复Internet连接后上网查了一下这个病毒,原来它就是名为“灰鸽子”的木马程序。和我猜想的一样,它是先注册一个服务,然后通过服务来检查重启病毒的主文件。我机器上肯定是前天运行自解压文件的时候染了病毒注册了服务,在昨天重启机器后服务开始运行的。G_Server.exe就是灰鸽子的执行文件;G_Server.dll文件实现后门功能,与控制端客户端进行通信;G_Server_Hook.dll则通过拦截API调用来隐藏病毒。因为病毒及时的被Pc-cillin查出来了,所以它也就没有隐藏成功。以上三个文件构成了灰鸽子的服务端,另外还有那个G_ServerKey.dll文件则是用来记录键盘输入的。和冰河等大部分木马程序一样,Hacker在Client端是可以修改病毒生成的Server程序名称的,因此有点经验的Hacker在使用这类木马的时候都会将将其改成一个比较有欺骗性的名字,比如叫Kernel32.exe(看上去很像系统内核文件,Win98时代曾经有Kernel进程,但是在WinXP下已经没有这个进程了,更不要说是Kernel32了。我曾经在一个同事的机器上发现过这个进程,当时的感觉就是此的无银三百两:)。而从我遇到的情况来看显然其制造者直接使用的默认配置没有修改,并且记录了我键盘输入希望得到一些帐户密码。因此这个制造者要不就是一个看了点教程就想黑别人的新手,要不就是一个比较懒的人。本来还有想法通过WinHex加载G_Server程序去看一下记录被发回到了哪个信箱,不过实在也是不愿意去费劲了,看来我也变成一个懒人了;) 评论 (4)
引用通告此日志的引用通告 URL 是: http://clamis.spaces.live.com/blog/cns!5092D0E7951DA316!324.trak 引用此项的网络日志
|
|
|
