chinese老太交,99v久久综合狠狠综合久久,国产精品国产三级国产AV主播,国产午夜伦鲁鲁

服務(wù)無限,企業(yè)樂無優(yōu)

資深工程師咨詢熱線

400-8871-651
IT外包圖片
新聞中心
技術(shù)文章
當前位置:首頁 >> 新聞中心 >> 技術(shù)文章
灰鴿子病毒
www.simplelove-0511.cn 2014-06-04
概述


灰鴿子是國內(nèi)一款著名后門。比起前輩冰河、黑洞來,灰鴿子可以說是國內(nèi)后門的集大成者。其豐富而強大的功能、靈活多變的操作、良好的隱藏性使其他后門都相形見絀。客戶端簡易便捷的操作使剛?cè)腴T的初學者都能充當黑客。當使用在合法情況下時,灰鴿子是一款優(yōu)秀的遠程控制軟件。但如果拿它做一些非法的事,灰鴿子就成了很強大的黑客工具。
一、灰鴿子病毒簡介


   (1)。客戶端簡易便捷的操作使剛?cè)腴T的初學者都能充當黑客。當使用在合法情況下時,灰鴿子是一款優(yōu)秀的遠程控制軟件。但如果拿它做一些非法的事,灰鴿子就成了很強大的黑客工具,。這就好比火藥,用在不同的場合,給人類帶來不同的影響。對灰鴿子完整的介紹也許只有灰鴿子作者本人能夠說清楚,在此我們只能進行簡要介紹。 
  灰鴿子客戶端和服務(wù)端都是采用Delphi編寫。黑客利用客戶端程序配置出服務(wù)端程序??膳渲玫?a href='http://www.simplelove-0511.cn/DetailInfo.aspx?nid=1928' target='_blank'>信息主要包括上線類型(如等待連接還是主動連接)、主動連接時使用的公網(wǎng)IP(域名)、連接密碼、使用的端口、啟動項名稱、服務(wù)名稱,進程隱藏方式,使用的殼,代理,圖標等等。 
  服務(wù)端對客戶端連接方式有多種,使得處于各種網(wǎng)絡(luò)環(huán)境的用戶都可能中毒,包括局域網(wǎng)用戶(通過代理上網(wǎng))、公網(wǎng)用戶和ADSL撥號用戶等。
  因涉及互聯(lián)網(wǎng)安全法律糾紛問題,自2007年3月21日起灰鴿子已全面停止開發(fā)和注冊[1]。互聯(lián)網(wǎng)上現(xiàn)存灰鴿子版本為以前所開發(fā)灰鴿子軟件及其修改版。
   (2)作者葛軍(1982-? )安徽潛山人,灰鴿子工作室管理員,精通Delphi、ASP、數(shù)據(jù)庫編程,2001年首次將反彈連接應(yīng)用在遠程控制軟件上,隨后掀起了國內(nèi)遠程控制軟件使用反彈連接的熱潮,2005年4月,將虛擬驅(qū)動技術(shù)應(yīng)用到灰鴿子屏幕控制上,使灰鴿子的屏幕控制達到了國際先進水平。 
  葛軍,“灰鴿子工作室”的創(chuàng)辦者,一個低調(diào)而又引人注目的程序員。
   (3)服務(wù)端: 
  配置出來的服務(wù)端文件文件名為G_Server.exe(這是默認的,當然也可以改變)。然后黑客利用一切辦法誘騙用戶運行G_Server.exe程序。
  G_Server.exe運行后將自己拷貝到Windows目錄下(98/xp下為系統(tǒng)盤的windows目錄,2k/NT下為系統(tǒng)盤的Winnt目錄),然后再從體內(nèi)釋放G_Server.dll和G_Server_Hook.dll到windows目錄下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三個文件相互配合組成了灰鴿子服務(wù)端, G_Server_Hook.dll負責隱藏灰鴿子。通過截獲進程的API調(diào)用隱藏灰鴿子的文件、服務(wù)的注冊表項,甚至是進程中的模塊名。截獲的函數(shù)主要是用來遍歷文件、遍歷注冊表項和遍歷進程模塊的一些函數(shù)。所以,有些時候用戶感覺種了毒,但仔細檢查卻又發(fā)現(xiàn)不了什么異常。有些灰鴿子會多釋放出一個名為G_ServerKey.dll的文件用來記錄鍵盤操作。注意,G_Server.exe這個名稱并不固定,它是可以定制的,比如當定制服務(wù)端文件名為A.exe時,生成的文件就是A.exe、A.dll和A_Hook.dll。 
  Windows目錄下的G_Server.exe文件將自己注冊成服務(wù)(9X系統(tǒng)寫注冊表啟動項),每次開機都能自動運行,運行后啟動G_Server.dll和G_Server_Hook.dll并自動退出。G_Server.dll文件實現(xiàn)后門功能,與控制端客戶端進行通信;G_Server_Hook.dll則通過攔截API調(diào)用來隱藏病毒。因此,中毒后,我們看不到病毒文件,也看不到病毒注冊的服務(wù)項。隨著灰鴿子服務(wù)端文件的設(shè)置不同,G_Server_Hook.dll有時候附在Explorer.exe的進程空間中,有時候則是附在所有進程中。 
  灰鴿子的作者對于如何逃過殺毒軟件的查殺花了很大力氣。由于一些API函數(shù)被截獲,正常模式下難以遍歷到灰鴿子的文件和模塊,造成查殺上的困難。要卸載灰鴿子動態(tài)庫而且保證系統(tǒng)進程不崩潰也很麻煩,因此造成了近期灰鴿子在互聯(lián)網(wǎng)上泛濫的局面。
灰鴿子給黑客帶來的經(jīng)濟效益


  黑客可以在灰鴿子工作室的網(wǎng)站上花100元下載灰鴿子,在網(wǎng)上花200元就可以找?guī)煾祵W灰鴿子使用技巧。而黑客一天可以控制上百個用戶,網(wǎng)民稱之“肉雞”。據(jù)黑客王某說,他一天可以抓200只雞,在江浙發(fā)達地區(qū)的肉雞可以一只賣3至4塊,普通地區(qū)賣1塊,一天盜幾十個號,好號可以賣幾十元甚至1000元,普通的也能是幾塊錢。平均每月3000元,據(jù)王某稱這還是小的,有的黑客甚至一月上萬元。
  個別有不良思想的公司會請黑客們?nèi)肭至硪患夜?,攻擊或者竊取資料,然后會付給一些報酬。網(wǎng)上也會有一些人想要“逗逗”朋友或者其他用途,都想惡作劇。常常造成嚴重的后果。
  灰鴿子-變種來襲
  國家計算機病毒應(yīng)急處理中心通過對互聯(lián)網(wǎng)的監(jiān)測發(fā)現(xiàn),近期出現(xiàn)了“灰鴿子”的新變種。專家指出,該變種在受感染計算機系統(tǒng)中運行后,會將病毒文件復制到系統(tǒng)的指定目錄下,并將文件屬性設(shè)置為只讀、隱藏或存檔,使得計算機用戶無法發(fā)現(xiàn)并刪除。該變種還會修改受感染系統(tǒng)注冊表中的啟動項,使得變種隨計算機系統(tǒng)啟動而自動運行。 
  另外,該變種還會在受感染操作系統(tǒng)中創(chuàng)建新的IE進程,并設(shè)置其屬性為隱藏,然后將病毒文件自身插入到該進程中。如果惡意攻擊者利用該變種入侵感染計算機系統(tǒng),那么受感染的操作系統(tǒng)會主動連接互聯(lián)網(wǎng)絡(luò)中指定的服務(wù)器,下載其他病毒、木馬等惡意程序,同時惡意攻擊者還會竊取計算機用戶的鍵盤操作信息(如:登錄賬戶名和密碼信息等),最終造成受感染的計算機系統(tǒng)被完全控制,嚴重威脅到計算機用戶的系統(tǒng)和信息安全。
二、灰鴿子的手工檢測


  由于灰鴿子攔截了API調(diào)用,在正常模式下服務(wù)端程序文件和它注冊的服務(wù)項均被隱藏,也就是說你即使設(shè)置了“顯示所有隱藏文件”也看不到它們。此外,灰鴿子服務(wù)端的文件名也是可以自定義的,這都給手工檢測帶來了一定的困難。 
  但是,通過仔細觀察我們發(fā)現(xiàn),對于灰鴿子的檢測仍然是有規(guī)律可循的。從上面的運行原理分析可以看出,無論自定義的服務(wù)器端文件名是什么,一般都會在操作系統(tǒng)的安裝目錄下生成一個以“_hook.dll”結(jié)尾的文件。通過這一點,我們可以較為準確手工檢測出灰鴿子 服務(wù)端。 
    由于正常模式下灰鴿子會隱藏自身,因此檢測灰鴿子的操作一定要在安全模式下進行。進入安全模式的方法是:啟動計算機,在系統(tǒng)進入Windows啟動畫面前,按下F8鍵(或者在啟動計算機時按住Ctrl鍵不放),在出現(xiàn)的啟動選項菜單中,選擇“Safe Mode”或“安全模式”。 
  1、由于灰鴿子的文件本身具有隱藏屬性,因此要設(shè)置Windows顯示所有文件。打開“我的電腦”,選擇菜單“工具”—》“文件夾選項”,點擊“查看”,取消“隱藏受保護的操作系統(tǒng)文件”前的對勾,并在“隱藏文件和文件夾”項中選擇“ 顯示所有文件和文件夾”,然后點擊“確定”。 
  2、打開Windows的“搜索文件”,文件名稱輸入“_hook.dll”,搜索位置選擇Windows的安裝目錄(默認98/xp為C:\windows,2k/NT為C:\Winnt)。 
  3、經(jīng)過搜索,我們在Windows目錄(不包含子目錄)下發(fā)現(xiàn)了一個名為Game_Hook.dll的文件。 
  4、根據(jù)灰鴿子原理分析我們知道,如果Game_Hook.DLL是灰鴿子的文件,則在操作系統(tǒng)安裝目錄下還會有Game.exe和Game.dll文件。打開Windows目錄,果然有這兩個文件,同時還有一個用于記錄鍵盤操作的GameKey.dll文件。 
  經(jīng)過這幾步操作我們基本就可以確定這些文件是灰鴿子 服務(wù)端了,下面就可以進行手動清除。
三、灰鴿子的手工清除


  經(jīng)過上面的分析,清除灰鴿子就很容易了。清除灰鴿子仍然要在安全模式下操作,主要有兩步:
  1、清除灰鴿子的服務(wù);
  2、刪除灰鴿子程序文件。 
  注意:為防止誤操作,清除前一定要做好備份。 
 ?。ㄒ唬⑶宄银澴拥姆?wù) 
  注意清除灰鴿子的服務(wù)一定要在注冊表里完成,對注冊表不熟悉的網(wǎng)友請找熟悉的人幫忙操作,清除灰鴿子的服務(wù)一定要先備份注冊表,或者到純DOS下將注冊表文件更名,然后再去注冊表刪除灰鴿子的服務(wù)。因為病毒會和EXE文件進行關(guān)聯(lián) 
  2000/XP系統(tǒng): 
  1、打開注冊表編輯器(點擊“開始”-》“運行”,輸入“Regedit.exe”,確定。),打開 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注冊表項。 
  2、點擊菜單“編輯”-》“查找”,“查找目標”輸入“game.exe”,點擊確定,我們就可以找到灰鴿子的服務(wù)項(此例為Game_Server,每個人這個服務(wù)項名稱是不同的)。 
  3、刪除整個Game_Server項。 
  98/me系統(tǒng): 
  在9X下,灰鴿子啟動項只有一個,因此清除更為簡單。運行注冊表編輯器,打開HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run項,我們立即看到名為Game.exe的一項,將Game.exe項刪除即可。 
 ?。ǘ?、刪除灰鴿子程序文件 
  刪除灰鴿子程序文件非常簡單,只需要在安全模式下刪除Windows目錄下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件,然后重新啟動計算機。至此,灰鴿子VIP 2005 服務(wù)端已經(jīng)被清除干凈。 
  以上介紹的方法適用于我們看到的大部分灰鴿子木馬及其變種,然而仍有極少數(shù)變種采用此種方法無法檢測和清除。同時,隨著灰鴿子新版本的不斷推出,作者可能會加入一些新的隱藏方法、防刪除手段,手工檢測和清除它的難度也會越來越大。 
  四、防止中灰鴿子病毒需要注意的事項 
  1. 給系統(tǒng)安裝補丁程序。通過Windows Update安裝好系統(tǒng)補丁程序(關(guān)鍵更新、安全更新和Service pack),其中MS04-011、MS04-012、MS04-013、MS03-001、MS03-007、MS03-049、MS04-032等都被病毒廣泛利用,是非常必要的補丁程序 
  2. 給系統(tǒng)管理員帳戶設(shè)置足夠復雜足夠強壯的密碼,最好能是10位以上,字母+數(shù)字+其它符號的組合;也可以禁用/刪除一些不使用的帳戶 
  3. 經(jīng)常更新殺毒軟件病毒庫),設(shè)置允許的可設(shè)置為每天定時自動更新。安裝并合理使用網(wǎng)絡(luò)防火墻軟件,網(wǎng)絡(luò)防火墻防病毒過程中也可以起到至關(guān)重要的作用,能有效地阻擋自來網(wǎng)絡(luò)的攻擊和病毒的入侵。部分盜版Windows用戶不能正常安裝補丁,這點也比較無奈,這部分用戶不妨通過使用網(wǎng)絡(luò)防火墻來進行一定防護 
  4. 關(guān)閉一些不需要的服務(wù),條件允許的可關(guān)閉沒有必要的共享,也包括C$、D$等管理共享。完全單機的用戶可直接關(guān)閉Server服務(wù)。 
  . 下載HijackTis掃描系統(tǒng) 
  與“熊貓燒香”病毒的“張揚”不同,“灰鴿子”更像一個隱形的賊,潛伏在用戶“家”中,監(jiān)視用戶的一舉一動,甚至用戶與MSN、QQ好友聊天的每一句話都難逃“鴿”眼。專家稱,“熊貓燒香”還停留在對電腦自身的破壞,而“灰鴿子”已經(jīng)發(fā)展到對“人”的控制,而被控者卻毫不知情。從某種意義上講,“灰鴿子”的危害及危險程度超出“熊貓燒香”10倍。 
  “灰鴿子”如何控制電腦牟利 
  “黑客培訓班”教網(wǎng)民通過“灰鴿子”控制別人電腦,“學費”最高200元,最低需要50元,學時一周到一個月不等。 
  黑客通過程序控制他人電腦后,將“肉雞”倒賣給廣告商,“肉雞”的價格在1角到1元不等。資深販子一個月內(nèi)可以販賣10萬個“肉雞”。 
  被控制電腦被隨意投放廣告,或者干脆控制電腦點擊某網(wǎng)站廣告,一舉一動都能被監(jiān)視。
  直接把文件的路徑復制到 Killbox里刪除 
  通常都是下面這樣的文件 "服務(wù)名"具體通過HijackThis判斷 
  C:\windows\服務(wù)名.dll 
  C:\windows\服務(wù)名.exe 
  C:\windows\服務(wù)名.bat 
  C:\windows\服務(wù)名key.dll 
  C:\windows\服務(wù)名_hook.dll 
  C:\windows\服務(wù)名_hook2.dll 
  舉例說明: 
  C:\WINDOWS\setemykey.dll 
  C:\WINDOWS\setemy.dll 
  C:\WINDOWS\setemy.exe 
  C:\WINDOWS\setemy_hook.dll 
  C:\WINDOWS\setemy_hook2.dll 
  用Killbox刪除那些木馬文件,由于文件具有隱藏屬性,可能無法直接看到,但Killbox能直接刪除. 上面的文件不一定全部存在,如果Killbox提示文件不存在或已經(jīng)刪除就沒關(guān)系了
  灰鴿子自身并不具備傳播性,一般通過捆綁的方式進行傳播?;银澴觽鞑サ乃拇笸緩剑壕W(wǎng)頁傳播、郵件傳播、IM聊天工具傳播、非法軟件傳播。
  1.網(wǎng)頁傳播:病毒制作者將灰鴿子病毒植入網(wǎng)頁中,用戶瀏覽即感染;
  2.郵件傳播:灰鴿子被捆綁在郵件附件中進行傳播;
  3.IM聊天工具傳播:通過即時聊天工具傳播攜帶灰鴿子的網(wǎng)頁鏈接或文件。
  4.非法軟件傳播:病毒制作者將灰鴿子病毒捆綁進各種非法軟件,用戶下載解壓安裝即感染。
  以上他們做了命名規(guī)則解釋,去下載一個木馬殺客灰鴿子專殺,清理完后 需要重新啟動計算機 服務(wù)停止 然后去找那些殘留文件,參見上面回答者 
  軟件名稱: 灰鴿子(Huigezi、Gpigeon)專用檢測清除工具 
  界面語言: 簡體中文 
  軟件類型: 國產(chǎn)軟件 
  運行環(huán)境: /Win9X/Me/WinNT/2000/XP/2003 
  授權(quán)方式: 免費軟件 
  軟件大?。?414KB 
  軟件簡介: 由灰鴿子工作室開發(fā)的,針對灰鴿子專用清除器!可以清除VIP2005版灰鴿子服務(wù)端程序(包括殺毒軟件殺不到的灰鴿子服務(wù)端)和灰鴿子 [輻射正式版] 和 DLL版服務(wù)端 牽手版服務(wù)端 
  運行DelHgzvip2005Server.exe文件清除VIP2005版灰鴿子服務(wù)端程序,運行un_hgzserver.exe文件清除灰鴿子 [輻射正式版] 和 DLL版服務(wù)端 牽手版服務(wù)
四、灰鴿子的公告聲明


  灰鴿子工作室于2003年初成立,定位于遠程控制、遠程管理、遠程監(jiān)控軟件開發(fā),主要產(chǎn)品為灰鴿子遠程控制系列軟件產(chǎn)品?;银澴庸ぷ魇业能浖a(chǎn)品,均為商業(yè)化的遠程控制軟件,主要提供給網(wǎng)吧、企業(yè)及個人用戶進行電腦軟件管理使用;灰  灰鴿子
灰鴿子


鴿子軟件已獲得國家頒布的計算機軟件著作權(quán)登記證書,受著作權(quán)法保護。 
  然而,我們痛心的看到,目前互聯(lián)網(wǎng)上出現(xiàn)了利用灰鴿子遠程管理軟件以及惡意破解和篡改灰鴿子遠程管理軟件為工具的不法行為,這些行為嚴重影響了灰鴿子遠程管理軟件的聲譽,同時也擾亂了網(wǎng)絡(luò)秩序。這完全違背了灰鴿子工作室的宗旨和開發(fā)灰鴿子遠程管理軟件的初衷。在此我們呼吁、勸告那些利用遠程控制技術(shù)進行非法行為的不法分子應(yīng)立即停止此類非法活動。
  應(yīng)該表明的是,灰鴿子工作室自成立以來恪守國家法律和有關(guān)網(wǎng)絡(luò)管理的規(guī)定,具有高度的社會責任感。為有效制止不法分子非法利用灰鴿子遠程管理軟件從事危害社會的非法活動,在此,我們鄭重聲明,自即日起決定全面停止對灰鴿子遠程管理軟件的開發(fā)、更新和注冊,以實際行動和堅定的態(tài)度來抵制這種非法利用灰鴿子遠程管理軟件的不法行為,并誠懇接受廣大網(wǎng)民的監(jiān)督。
  灰鴿子工作室譴責那些非法利用遠程控制技術(shù)實現(xiàn)非法目的的行為,對于此類行為,灰鴿子工作室發(fā)布了灰鴿子服務(wù)端卸載程序,以便于廣大網(wǎng)民方便卸載那些被非法安裝于自己計算機的灰鴿子服務(wù)端。卸載程序下載頁面。
五、灰鴿子工作室


  灰鴿子工作室于2003年 初成立,定位于遠程控制,遠程管理,遠程監(jiān)控軟件開發(fā),主要產(chǎn)品為灰鴿子遠程控制系列,2005年6月,  正式推出使用驅(qū)動技術(shù)捕獲屏幕的遠程控制軟件,捕獲屏幕速度開始超越國外遠程控制軟件,灰鴿子開始被喻為遠程控制的代名詞。我們希望,用我們的技術(shù)和經(jīng)驗,打造出最好的遠程控制軟件,推動遠程控制技術(shù)的發(fā)展!
  2007年3月21日
  灰鴿子工作室成員介紹
  葛軍:2003年初,與好友黃土平創(chuàng)建了灰鴿子工作室。2001年挺進版率先在遠程控制軟件上開發(fā)和使用了反彈連接技術(shù)。
  黃土平:2003年初,與好友葛軍創(chuàng)建了灰鴿子工作室。
  灰鴿子是同類軟件的祖先。
 
乙市信息技術(shù) www.simplelove-0511.cn 版權(quán)所有                           咨詢熱線: 40088-71651  

    滬ICP備10200906號-10     滬公網(wǎng)安備 31010802001698號              技術(shù)支持: 021-55282628  

    IT外包   電腦維修   數(shù)據(jù)恢復   機房布線   設(shè)備租賃   服務(wù)器維護   電話交換機