返回列表 发帖

[病毒查杀] [转帖]查杀"灰鸽子"木马病毒 Win32.Hack.Hupigon.f.104448

有一个木马病毒比较典型:win32.hack.hupigon.f.104448 ,下面我就讲述如何手动查杀这个病毒。
这个木马病毒叫做“灰鸽子”,是最近比较流行的一种远程控制服务端,中招的以后,其他人使用客户端可以进行远程控制,恶意操作将使个人密码被盗、文件恶意删除、甚至分区格式化。
这个病毒样本是使用bt下载的软件压缩包中,伪装成一个补丁程序与主安装程序放在一起的。在此也提醒大家谨慎处理下载后的文件!病毒样本如(图01)所示:





双击运行以后,该病毒样本自动删除掉了。——很多病毒文件都有这个特点。以后如果遇到运行以后没有反应或者文件自动消失的情况,就要提高警惕了。(图02)




启动金山毒霸dos版杀毒,在内存中发现14个病毒体,同一个病毒。全部提示查杀失败:delete fail! (图03)




启动process explorer v9.11,根据金山毒霸dos版获取的病毒位置信息,查找对应的文件:c:\windows\g_server_hook.dll,发现几乎所有的进程都被注入了这个动态连接库文件。(图04)




既然找到了病毒所在位置,最好的办法自然就是把它删除掉咯!赶紧进入c:\windows\ 目录,没有看到可疑文件。进入"文件夹选项"——"察看"——选中显示所有文件及文件夹,取消隐藏受保护的操作系统文件。依然不见病毒文件的踪迹。
windows不给面子,只好请dos出马了……(图05)
进入dos窗口,居然找到一个名为g_server.dll的文件,文件名虽然与金山毒霸dos版提示信息不符,但这个文件肯定不是好东西。用del命令删除,居然提示找不到该文件!
我晕 %……*(*—##!·




此路不通,只好试试金山毒霸dos版显示的病毒文件了,先不管看得到看不到文件,既然杀毒日志记录上显示为:c:\windows\g_server_hook.dll ,就不管三七二十一,拷贝一份出来看看她长什么样子。
拷贝成功了!文件大小为104448字节,没有系统属性和隐藏属性。窃喜中……赶紧去c:\ 看看,居然没踪影!!!(图06)
第二次狂晕。




改变策略,采取拷贝并且重命名——成功!(图07)




吸取前面的教训,感觉问题不是处在病毒体本身,而是系统中某些设置被恶意修改以至于混乱了——明明显示属性为存档属性(a属性)的文件,居然看不到!明明能够用dir遍历出来的文件,并且可以用attrib查看文件属性为系统、只读、隐藏(srh属性),用del删除居然提示文件不存在!
改用 hijackthis v1.99.exe 检查系统及ie浏览器是否遭到不明飞行物的劫持:果然不出所料,灰鸽子木马病毒以系统服务的形式存在。主程序名称居然是g_server.exe,刚才用dir遍历居然也没有显示出来!!!(图08)




赶紧进入系统服务管理程序("开始菜单"——"运行"——"services.msc"——回车),来回巡视了n次,没有看到任何有关gray的系统服务。
进入注册表编辑器("开始菜单"——"运行"——"regedit"——回车),进入系统服务所在位置:
hkey_local_machine\system\currentcontrolset\services\\

终于找到了罪魁祸首:graypigeonserver (图09)



毫不留情,删掉它。重启计算机以后,进入c:\windows\ (图10)
起先捉迷藏的三个病毒文件都显示出来了,无一漏网!



用金山毒霸dos版再次扫描,内存中没有病毒在运行,c:\windows\ 目录下的三个病毒文件也顺利清除掉了。至此大功告成,杀毒完毕!(图11)

欢迎光临:逐梦论坛

返回列表

Powered by Discuz! 7.2   论坛QQ群:逐梦论坛群

© 2001-2021 Comsenz Inc. 鲁公网安备 37120302000001号