论文部分内容阅读
做小偷最失败的是什么?就是一上车大家都看出你是掏包的,三米之内无人近身。而做木马做得到街知巷闻,比如灰鸽子,该说它成功呢还是失败呢?
2007年3月21日,灰鸽了工作室宣布全面停止对灰鸽子的开发、更新和注册,并提供了专用的卸载工具(http://www.huigezt.net/uninstall/)。
但是我们要明白,这并不说明灰鸽子木马从此消亡不见了,它还有很多改造版本,如XX破解版、XX免杀版。对于这个连续三年国内病毒排行榜的冠军,可不能小看。
专杀一箩筐
对于大部分的灰鸽子木马,常用的杀毒软件都能够及时发现并清除。除此之外,我们还可以使用专杀工具来清除,除了灰鸽子工作室的专用卸载工具外,各大杀毒软件公司都r发布自己的专杀工具。
为了方便大家下载,我们将包括官厅卸载工具在内的多种专杀工具集合在一起,下载地址是http://work.newhua.com/pcd。
1.金山毒霸灰鸽子木马专杀
下载地址:http://tool.duba.net/zhuansha/255.shtml
2.瑞星专用检测清除工具
http://it.rising.com.cn/Channels/Service/2006-07/1153119215d22605.shtml
3.江民灰鸽子专杀
http://download.jiangmin.info/jmsoft/HGZKiller.exe
手工清除
由于灰鸽子定制性强,有时我们需要手工检测病并清除。
首先下载工具软件冰刃IceSword(下载地址是http://work.newhua.com/pcd)。通常中了灰鸽子后,我们在任务管理器的列表里是看不到它的,担在IceSword中它就会现身。所以我们同时打开它们来查看,比较一下进程,lceSword里多出的进程就可疑,如果见到进程中含有类似“G-Server2007”的字符,那可以肯定是中了灰鸽子。
这时选中G_server2007进程,记下它对应的位置,单击右键结束它。在IceSword中点击左边“文件”标签,浏览到图中在“程序名称”下提示的文件夹,找到g_server2007.exe和g_server2007.dll点击右键,彻底删除掉。
要注意的是,灰鸽子中毒后的文件名各不相同,是由攻击者定制的,应尽可能根据冰刃提示的路径去查找。有的版本带有hook.dll,可以查看下文件日期,应该是同时生成的。
预防方法
灰鸽子自身并不具备传播性,一般通过捆绑的方式进行传播,主要有四种途径:IM聊天工具传播(如QQ等)、邮件传播、网页传播、非法软件传播,特别是前两种最为常见。
所以对于网络上不要轻易接收QQ上传来的可执行文件,下载邮件附件或在功一些陌生网站下载文件也应该特别注意。这时,我们应该打开杀毒软件的文件监控功能,随时监控可疑文件。
另一种情况时,山于系统不安全,被黑客入侵悄悄种下灰鸽子木马。对于这种攻击,我们要做的就足安装一款网络防火墙,来监控系统中的不安全端口,并拦截住黑客入侵。
小知识
灰鸽子的危害
中了灰鸽子后,黑客就有可能获得用户电脑的最高管理权限,为所欲为,通常黑客们会做这几样坏事:盗号、偷窥隐私、敲诈、发展肉鸡,盗取商业机密、间断性骚扰、恶搞性破坏。
2007年3月21日,灰鸽了工作室宣布全面停止对灰鸽子的开发、更新和注册,并提供了专用的卸载工具(http://www.huigezt.net/uninstall/)。
但是我们要明白,这并不说明灰鸽子木马从此消亡不见了,它还有很多改造版本,如XX破解版、XX免杀版。对于这个连续三年国内病毒排行榜的冠军,可不能小看。
专杀一箩筐
对于大部分的灰鸽子木马,常用的杀毒软件都能够及时发现并清除。除此之外,我们还可以使用专杀工具来清除,除了灰鸽子工作室的专用卸载工具外,各大杀毒软件公司都r发布自己的专杀工具。
为了方便大家下载,我们将包括官厅卸载工具在内的多种专杀工具集合在一起,下载地址是http://work.newhua.com/pcd。
1.金山毒霸灰鸽子木马专杀
下载地址:http://tool.duba.net/zhuansha/255.shtml
2.瑞星专用检测清除工具
http://it.rising.com.cn/Channels/Service/2006-07/1153119215d22605.shtml
3.江民灰鸽子专杀
http://download.jiangmin.info/jmsoft/HGZKiller.exe
手工清除
由于灰鸽子定制性强,有时我们需要手工检测病并清除。
首先下载工具软件冰刃IceSword(下载地址是http://work.newhua.com/pcd)。通常中了灰鸽子后,我们在任务管理器的列表里是看不到它的,担在IceSword中它就会现身。所以我们同时打开它们来查看,比较一下进程,lceSword里多出的进程就可疑,如果见到进程中含有类似“G-Server2007”的字符,那可以肯定是中了灰鸽子。
这时选中G_server2007进程,记下它对应的位置,单击右键结束它。在IceSword中点击左边“文件”标签,浏览到图中在“程序名称”下提示的文件夹,找到g_server2007.exe和g_server2007.dll点击右键,彻底删除掉。
要注意的是,灰鸽子中毒后的文件名各不相同,是由攻击者定制的,应尽可能根据冰刃提示的路径去查找。有的版本带有hook.dll,可以查看下文件日期,应该是同时生成的。
预防方法
灰鸽子自身并不具备传播性,一般通过捆绑的方式进行传播,主要有四种途径:IM聊天工具传播(如QQ等)、邮件传播、网页传播、非法软件传播,特别是前两种最为常见。
所以对于网络上不要轻易接收QQ上传来的可执行文件,下载邮件附件或在功一些陌生网站下载文件也应该特别注意。这时,我们应该打开杀毒软件的文件监控功能,随时监控可疑文件。
另一种情况时,山于系统不安全,被黑客入侵悄悄种下灰鸽子木马。对于这种攻击,我们要做的就足安装一款网络防火墙,来监控系统中的不安全端口,并拦截住黑客入侵。
小知识
灰鸽子的危害
中了灰鸽子后,黑客就有可能获得用户电脑的最高管理权限,为所欲为,通常黑客们会做这几样坏事:盗号、偷窥隐私、敲诈、发展肉鸡,盗取商业机密、间断性骚扰、恶搞性破坏。