驱除灰鸽子 医治网络禽流感

sunweipeng

编者按：这是一个隐藏在超过20000000台计算机中的木马，每一台中了此木马的计算机就是控制者手中的“肉鸡”。 “肉鸡”上的QQ号码、游戏币、游戏帐号、隐私资料等等，一切的一切，都成为控制者手中的财富。这个木马形成了一个庞大的帝国，这个帝国有着严格的等级，有着完备的商品流通体制，有着骇人听闻的偷窥、盗窃、欺骗和敲诈。一些人成为了富豪，更多的人则成了受害者。没错，这便是国内十大病毒三连冠得主，灰鸽子！
撕皮拨壳——认识“灰鸽子”
灰鸽子病毒英文名为win32.hack.huigezi，这个木马黑客工具大致于2001年出现在互联网，当时被反病毒专业人士判定为最具危险性的后门程序，并引发了安全领域的高度关注。经过作者的不懈改进，从2004年起，灰鸽子连续三年荣登国内10大病毒排行榜，至今已经衍生出超过60000个变种。
前不久，熊猫烧香着实火了一把，大大小小的网民，一旦看到拿着三根香且憨态可掬的熊猫，不免心中打个冷战。但孰不知，与灰鸽子相比，熊猫烧香的危害远不及其十分之一。灰鸽子木马病毒入侵系统后，并不张扬，而只是悄悄地在系统驻留。只有非常有经验的电脑用户才可能发现异常，普通用户根本毫不知情，就好比有个会隐形术的贼在你家中长驻。
与传统木马病毒不同，灰鸽子病毒的文件名可以由攻击者任意定制，病毒还可以注入正常程序的进程隐藏自己，在Windows任务管理器中，用户根本无法察觉到它的存在，而唯有借助一些第三方工具，才有可能发现其蛛丝马迹。
被灰鸽子入侵的计算机，将完全被攻击者控制。攻击者具备和你一样的管理权限，远程黑客可以轻易的执行复制、删除、上传、下载等各类操作，电脑中的机密文件将在用户毫不知情的情况下被窃取。病毒还可以记录用户每一个点击键盘的操作，你的QQ号、网络游戏帐号、网上银行帐号，可以被远程攻击者轻易获得。更过分的是，远程攻击者还可以直接控制你的摄像头，任意拍摄照片、录像。
当远程攻击者获得其所需的资料后，还可以远程将病毒卸载，以达到销毁证据的目的。打个比方，这好比是穿着隐身衣的毛贼，在你家拿了贵重物品后，再大摇大摆地从隐形的门走出去，而你却根本不知道自己丢了东西。
灰鸽子如何传播？
毫无疑问，灰鸽子的危害是巨大的，但其自身却并不具备主动传播特性，而一般只能通过捆绑的方式进行传播。总的来说，网页传播、邮件传播、IM聊天工具传播、非法软件传播，是灰鸽子传播的四大途径。
1、网页传播
病毒制作者将灰鸽子病毒植入网页中，一旦用户浏览该类网页，便会立即中招。
2、邮件传播
灰鸽子被当作附件捆绑在电子邮件中进行传播，一旦用户打开附件，灰鸽子便会立即入侵系统。
3、IM聊天工具传播
攻击者将植入灰鸽子的网页链接，以及捆绑灰鸽子的程序文件，通过IM聊天工具发送给用户，一旦执行相应操作，亦逃不掉灰鸽子的魔爪。
4、非法软件传播
攻击者将灰鸽子捆绑进各种非法软件，用户安装这些软件时，系统便会立即感染灰鸽子。
可以看到，灰鸽子的传播途径十分广泛，稍有不悄，便会令其溜入计算机，从而窃取各类用户资料。不过好在其尚不具备自动传播特性，否则，对其的防范将变得更加困难。
无恶不作——“灰鸽子”七宗罪
与简单的破坏计算机不同，灰鸽子的最大危害莫过于一个“盗”字，并在“盗”的基础上，延伸出许许多多令人发指的险恶行径。罄竹难书，姑且让我们借用影片《七宗罪》，来详细地了解一下灰鸽子的丑恶嘴脸

1、记录键盘，偷盗他人账号
灰鸽子入侵用户计算机后，可通过键盘记录器等手段记录用户的键盘输入信息，包括QQ、网络游戏、网上银行的帐号密码，只要是通过键盘输入的字符，都会被其一字不漏的记录下来，并立即为攻击者所获取。
例如，热门网络游戏魔兽世界曾发生大量游戏帐号被盗时间，给数千玩家造成了不可估量的损失。又如，在2006年10月，BTV7《生活面对面》栏目曾报道，一网银帐户内1万余元被分15次盗走，警方在事主的计算机中查获了灰鸽子病毒。
笔者建议：执行密码输入操作时需谨慎。在输入QQ号码、网银帐号等操作时，尽量使用软键盘完成（各种输入法软件都带有软键盘功能，调出后使用鼠标点击即可），以避免键盘键入信息被灰鸽子所盗取。
图1 使用软键盘输入帐号
2、悄悄开启用户摄像头偷窥隐私
灰鸽子能够远程控制用户计算机中的摄像头，并通过它来偷窥用户隐私。只要用户的计算机处于开机状态，且摄像头连接正常，远程操控者便可以自动开启用户的摄像头，窥探用户隐私。这好比是家里隐藏了一只远在千里之外的眼睛，是不是有些毛骨悚然、
前不久，便有一篇报道，一以新婚夫妇缠绵全过程被黑客通过摄像头全部录制，并在网络中进行非法传播，对受害人造成了严重的伤害。
笔者建议：当发现摄像头指示灯无故显亮时，需特别注意，你的摄像头很可能已经被攻击者所控制，应该马上断开摄像头与计算机的连接，并且立即对计算机进行检测。此外，如无特别需要，在平时，最好不要将摄像头对准自己，而是让其对墙或其它不会拍摄到影像的角落。这样一来，即使摄像头一幸被攻击者控制，也不会让其窃取隐私。
3、截获用户隐私，敲诈他人
攻击击利用灰鸽子病毒完全控制被感染者计算机，可以对计算机中的任何文件进行处置。攻击者一旦发现对用户比较隐私或机密的东西，往往会将其转移到其他地方，然后以此为把柄，对用户进行恶意敲诈勒索。
例如，今年3月7日，BTV1《法制进行时》曾报道，江西瑞金一男子使用木马程序盗取受害人裸照，并向事主索要14万元人民币。与现实生活中的敲诈一样，利用网络进行偷窥、敲诈的行为同样是违法行为。虽然，该男子以敲诈勒索罪被判有期徒刑6年，但这一事件，对受害人的伤害却无法磨灭。
笔者建议：计算机是工作、学习、娱乐的工具，而不是保险箱。太隐私的东西，并不适合保存于计算机中，特别是一台联网的计算机。而一旦不幸遭遇同类事件，不必惊慌，及时报警，将犯罪分子绳之以法才是正道。

4、控制用户电脑，制造僵尸网络
计算机被植入木马，这台主机，往往被称之为“肉鸡”。一方面，远程攻击者可以对这台“肉鸡”为所欲为，获取任意信息；另一方面，远程攻击者可以通过“肉鸡”，将邪恶之手伸得更长。
例如，远程攻击者可在“肉鸡”上植入点击广告的软件，从而获得非法广告收入；利用“肉鸡”配置代理服务器，以此作为跳板，对其它计算机进行非常攻击，一旦最终受害者追查时，“肉鸡”将成为替罪羊；此外，还可以利用大量“肉鸡”组建僵尸网络，随时可以被用于一些特殊目的，比如发起DDoS攻击等。可以想象，如果大旦“肉鸡”被敌对势力控制，将会对我国的网络安全造成什么样的不利后果。
笔者建议：远程攻击者通过“肉鸡”而开展行动时，不免用到计算机本地资源。因此，一旦发现带宽使用异常，又或是系统资源占用异常，那便有可能已经中招。必需立即对计算机进行彻底的检查。
5、盗取商业机密
不仅是民用领域，灰鸽子业已渗透到商业领域，成为商业间谍的最爱。通过一些非法途径，让那些存放商业机密的计算机感染灰鸽子。接下来，攻击者便可随意窃取有价值的商业文件、机密文件、个人隐私数据等等。攻击者可以偷偷地将这些商业文件进行贩卖，充当商业间谍。如果是国家机密因此受损，后果将不堪设想。
笔者建议：较之民间领域，商业领域的保护更加严密，但也不能确保百分百安全。对于商业机密文件的保护，一方面，通过防火墙等设备，提升商业网络的安全系数；另一方面，为机密文件设置一个复杂的密码，将是必需的。
6、间断性骚扰
除了窃取机密，某些攻击者还抱着恶作剧心态，沉迷于玩弄受害者的计算机。由于其已经获取了“肉鸡”的全部控制权，因此只需在远程发出指令，便能任意打开和关闭文档，重启或关闭电脑，令受害者无法执行正常的操作。
笔者建议：如果发现计算机出现任意打开或关闭文档，重启或关机等症状，那么不必惊慌，而是应该立即拨掉网线，断开攻击者控制计算机的途径。然后再通过各种途径，将灰鸽子病毒从系统中清除出去。
7、恶搞性破坏
看谁不顺眼，就可以肆意搞破坏，攻击者可利用灰鸽子对被感染的用户计算机为所欲为，修改注册表、删除重要文件、修改共享、开启代理服务器、下载病毒等等，试想如果你电脑的注册表被恶意篡改、系统文件被删除，而且电脑中还被放了大量病毒，你的电脑将如何？
笔者建议：从症状来看，恶搞性破坏与间断性骚扰有几分类似，但从后果来看，对用户造成的危害明显更大。如果发现计算机存在此类症状，同样应该先拨掉网线，切断攻击者与计算机的联系，然后再对灰鸽子进行查杀操作。
没错，灰鸽子就是这样的罪大恶极，对待如此恶徒，自有雷霆手段等着它。
魔高一尺，道高一丈——灰鸽子的查杀
中了灰鸽子，浑然不知；知道中了灰鸽子，束手无策。这往往是许多用户面对灰鸽子的无奈写照。实际上，灰鸽子虽然危害巨大，但在强大的安全软件面前，也只有缴械投降的份。通过一些必要的手段，便能将灰鸽子彻底清除。

一、怎样才知道中了灰鸽子？
灰鸽子病毒泛滥已经数年，变种高达60000多种，同时病毒具备很好的隐形特性，让人觉得防不胜防。而即使是中了灰鸽子，也由于其潜伏极深，很难为用户所察觉，而这种察觉的延迟，便已经为灰鸽子的肆虐创造了极佳的条件。因此，要想在第一时间内清除灰鸽子，还必需对其发作症状有所了解。
灰鸽子运行后，会将自身伪装为系统正常进程Winlogon.exe，并释放WinLog0n.dll另一个病毒文件。它会在电脑系统里添加一个名字为gs2007的伪Windows安全登录程序。同时在受感染的机器上开启端口，当成功连接黑客的控制端后，黑客便可以完全控制受感染的电脑。而具体来说，如果发现以几种症状，便可基本断定已经被灰鸽子入侵。
1、打开“控制面板”中的“文件夹选项”，切换到“查看”选项卡，勾选列表中的“显示系统文件夹的内容”、“显示所有文件和文件夹”两项，以及取消“隐藏受保护的操作系统文件”、“隐藏已知文件类型的扩展名”两项的勾选。
图2 调整文件夹查看参数
2、打开系统分区，在其根目录中查找是否包含BOOT.EXE和BOOTLOG.HTA两个文件。如果存在，那就说明你已经中招了。
3、调出系统搜索框，输入G_Server2.0.exe，在C: WINDOWS（以WinXP为例，如果操作系统为Win2000，则应在C:WINNT目录中搜索），如果存在，那就说明灰鸽子木马服务器端已经成功植入你的系统。
图3 搜索灰鸽子服务器端文件
4、如果在浏览网页时，突然弹出内容为“该文件不用于帮助程序打开”的一个帮助程序窗口，然后随即关闭，并出现一个运行“bootlog.hta”的脚本运行器，在运行结束后自动关闭，整个过程在10秒内完成。如果出现这样的症状，那就意味着恶意脚本代码执行成功，灰鸽子木马被植入你的计算机。
如果发现上述症状，那便说明你的计算机已经受到灰鸽子的入侵，面对侵略者，我们别无他法，只有拿起武器，将它们彻底消灭！

二、兵来将挡，三招搞定灰鸽子
虽然灰鸽子在系统中隐藏极深，不易被用户发现并查杀，但在安全技术日益进步的今天，利用各种手段，便能够将其彻底从系统中消灭。对于动手能力强的用户，不妨尝试着手动清除；对于大部分普通用户，不妨使用安全厂商推出的专杀工具，来执行消灭灰鸽子的任务。
1、手动清除灰鸽子
手动清除灰鸽子，主要通过对注册表的修改完成，鉴于注册表的重要作用，在执行操作前，建议做好备份工作，以免出现不可逆转的后果。
第一步：启动计算机，按F8键进入安全模式，依次点击“开始”－“运行”，在“运行”对话框中输入“regedit”，回车进入注册表编辑器。
第二步：通过搜索功能，在注册表中找到并删除WinLog0n.dll和Winlogon.exe的相关项，完成操作后关闭注册表编辑器。
图4 搜索相关注册表项
第三步：通过系统搜索功能，在计算机中找到并删除WinLog0n.dll和Winlogon.exe。
第四步：执行上述操作后，重启电脑，灰鸽子被成功清除。
一般情况下，执行上述操作，能够有效的清除灰鸽子，但众所周知，灰鸽子的变种多达60000多种，在其不断出现的变形品种面前，手动清除并不保险，很可能出现漏网之鱼。此外，对注册的操作具有一定危险性，还需谨慎操作。
2、使用普通木马清除软件
正由于直接对注册表操作，存在众多不足，不仅对操作者的操作水平提出要求，同时也会由于灰鸽子的变种而无所适从，因此我们往往使用一些辅助软件完成灰鸽子的清除工作。例如著名的木马查杀软件冰刃，便能且我们一臂之力。
一般来说，普通用户无法根据进程列表看出哪个是病毒、木马，而冰刃则不同，它不仅可以列出所有的进程（包括一些隐藏进程），或会将一些可疑进程用红色标出。你可以启动冰刃的同时，打开任务管理器，比较一下，看冰刃里多出的一个进程，可能就是灰鸽子病毒。进程名如果是假冒Word、记事本的图标，需要重点关注。
图5 在冰刃中找到灰鸽子进程
选中上图G_server2007进程，单击右键，结束进程。结束进程后，我们直接根据上图冰刃的提示，点冰刃左边的文件，浏览到上图程序名称提示的文件夹，找到g_server2007.exe和g_server2007.DLL（灰鸽子中毒后的文件名各不相同，是由攻击者定制的，应尽可能根据冰刃提示的路径去查找。有的版本带有_hook.dll，可以查看下文件日期，应该是同时生成的。）点击右键，彻底删除掉。
图6 删除灰鸽子程序文件
3、使用灰鸽子专杀工具
以上两种清除灰鸽子的方法，不能说不好，但却均对使用者提出了颇高的要求。手动清除，需要对注册表有所了解，并且操作中危险性较大；使用冰刃，光是辨认进程便是对使用者的严峻考验。那么，有没有更简单、更直接的方法呢？
实际上，随着灰鸽子的肆虐，金山等安全厂商已经适时推出了灰鸽子专杀工具，能够让用户实现傻瓜化的清除操作。此外，专杀工具不断的更新，也使其对灰鸽子的各种变种具备了良好的查杀能力。事不宜迟，这就来看看金山毒霸“灰鸽子”木马专杀的威力。
第一步：到http://tool.duba.net/zhuansha/255.shtml下载金山毒霸“灰鸽子”木马专杀工具，我们会得到一个DubaTool_Huigezi.COM的可执行文件。
第二步：双击DubaTool_Huigezi.COM，运行金山毒霸“灰鸽子”木马专杀工具，单击“开始扫描”按钮，专杀工具便会立即对系统进行详细的扫描，一旦发现灰鸽子的踪迹，便会立即将其清除。
图7 使用专杀工具查杀
很明显，使用专杀工具远比上述两种方法来得简单，在金山毒霸“灰鸽子”木马专杀工具运行的过程中，我们根本无需理会，而是可以执行一些正常的操作，灰鸽子的清除，将会在不知不觉中自动完成！

4、使用杀毒软件防火墙
事实上，最新的金山毒霸2007还具备了数据流杀毒技术，不管灰鸽子如何狡猾，其均可实时检测清除各种经过特殊变形加壳处理过的灰鸽子病毒。
图8 发现并清除灰鸽子
金山互霸2007下载地址：http://www.duba.net/db2007/down.shtml
数据流杀毒技术可直接分析病毒运行过程中生成的数据流特征，在病毒程序运行时，首先会自行脱壳，从而暴露出程序原始特征，在病毒原始代码现身后，杀毒引擎会及时做出响应，将病毒程序清除，这种方式避免了虚拟机需要的资源开销，内存耗损。此外，数据流杀毒技术还具有逆向检测原始加壳带毒文件的能力。比如，病毒A是一个加壳病毒，脱壳后生成病毒B，那么只要能够清除病毒B，就可以清除与A具有相同特征的加壳病毒C，而无论C脱壳后生成的是病毒D还是F。
总的来说，只需掌握了一定的方法，灰鸽子的清除并不是十分困难。当然，从操作的难度和安全性考虑，笔者还是推荐后两种方法，即使用专杀工具和病毒防火墙，一来无须动手，适合我等懒人，二来对灰鸽子的各种变形也能一眼看穿。
网络陷阱重重——安全上网十大军规
被动的反击，永远比不上进攻性的防御有效。采取必要的手段，将安全威胁拒之门外，让计算机远离木马的困扰，才是我们的最终目的。笔者整理了十条安全上网的行为准则，希望能对提高读者朋友的网张安全意识有所帮助。
准则一：不打开来历不明的网站
网站越来越多，安全威胁也随之增加。不少来历不明的网站，都被植入一木马程序，一旦用户浏览，便会立即中招，进而被攻击者窃取计算机中的各种资料。因此，对于来历不明的网站，即使其宣传得再好，也不要轻易地去点击，安全才是第一位的。
准则二：不在公用电脑登录隐私网站
对于网吧、办公室电脑，不建议登录个人网银等隐私网站，以免相关资料被窃取。同时，在公共场所使用计算机，在长时间离开时，建议按下Win+L锁定计算机，以免内部信息被他人窥视。
准则三：安装病毒防火墙
一款优秀的病毒防火墙，例如采用了数据流杀毒技术的金山毒霸2007，将为你减少许多不必要的麻烦。
准则四：安装网络防火墙
不少人往往忽略了网络防火墙，但殊不知，在网络攻击日益增多的今天，在某种意义上，网络防火墙比病毒防火墙更加重要。因此，安装一款类似金山网镖的网络防火墙将是用户不错的选择。

准则五：及时更新Windows系统补丁
大部分木马病毒，往往利用了Windows的系统漏洞，因此及时打补丁，成为防范木马病毒入侵的必要措施。对于大部分用户，我们建议开启系统自动更新功能，让操作系统自动安装最新的系统补丁。
提示：自动更新功能的开启方法如下，打开“控制面板”，双击“系统”项，在弹出的“系统属性”窗口中切换到“自动更新”选项卡，勾选“自动”项并设置更新时间即可。
图9 开启系统自动更新功能
准则六：关闭系统默认共享
在Win2000以后的操作系统中，系统会自动创建一些共享资源，这便给黑客以可乖之机。虽然在磁盘属性中，我们可以执行取消共享操作，但每当系统重启后，却会自动再次开启！
实际上，我们可以通过对注册表的修改实现共享的关闭。打开注册表[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]，新建“delshareC”，赋值为“net share C$ /del”，同样的方法，依次建立针对其它磁盘的键值，重启计算机后，便可实现自动关闭共享的目的。
图10 添加注册表键值
准则七：谨慎安装软件
不少软件，特别是汉化软件中，往往捆绑了木马，一旦安装，便会被攻击者所控制。因此在安装软件时，须看清软件安装附加项，同时对一些来历不明的软件，也不要轻易点击安装。
准则八：修改网络设备密码
对于使用ADSL Modem或路由器上网的用户，请修改这些网络设置的初始管理密码。因为这些设备的初始管理密码已经为人所熟知，一旦黑客侵入，很容易从这些网络设备中获取你的ADSL帐户。
准则九：关闭远程控制
默认状态下，WinXP操作系统开启了对远程协助的支持，这就给一些远程攻击者提供了可乘之机。因此，如若不是特别需要，建议关闭一切远程相应功能。具体的设置很简单，打开“系统属性”窗口后，切换到“远程”选项卡，取消“允许从这台计算机发送远程协助邀请”和“允许用户远程连接到此计算机”两项即可。
图11 关闭系统远程功能
准则十：提升IE安全等级
作为使用最为普遍的IE浏览器，其受到的安全攻击也是最多的，因此很有必要将IE的安全等级设置为“中－高”或者“高”（在Internet属性窗口的“安全”选项卡中设置）。而如果你使用的是Firefox等浏览器，也别忘了相应地提高其安全等级，以避免在冲浪时被木马入侵。
图12 提高IE安全等级