灰鸽子于 3 月 3 日 推出了 2006VIP 版,其功能大大超越了 05 以前的版本,特别是在服务端加载项的隐藏上真正可以说做到了无色无味,下面我将从它的服务端配置的选项,分析它的加载象和怎么判断以及清除的方法来详细说明。
服务端的配置(从中可以了解一些它的一些特性)。
它的配置除了继承了 05 所有的功能以外,还添加了隐藏服务项的功能,这给判断是否中灰鸽子上设立了障碍,
由于它不单隐藏了进程还隐藏了服务,传统的使用 HIJACKTHIS 扫描判断是否中灰鸽子的方法已经失效!
加载和判断
06 版和 05 以前的版本一样,都是使用服务加载启动,并插入 IE 进程,所不同的是新版隐藏了几乎所有的加载项目,包括进程,文件, 06 版还增加了服务的隐藏,可以说作到了真正的隐身,使你豪无察觉,但再狡猾的狐狸也逃不出好猎手的手掌,下面我将说明怎么才知道判断中了灰鸽子它和以前的版本一样,都是要插入 IE 进程运行,所以开放端口是没办法隐藏的, OK ,那我们就用 Tcpview 看看,关闭你所有的 IE 进程后,如果发现仍然有 IE 在某个端口监听,这就说明即使你没用中鸽子也是中了其它的后门。大家都知道灰鸽子是使用服务加载, 06 以前的版本其服务是没有隐藏的,使用 hijackthis 一下就可以扫描出来,但 06 版服务是完全隐藏的,只有使用 IceSword 底层扫描工具才可以是它显形,即使直接从管理 - 服务里也无从查找,这个就是 06 版最大的亮点,
搜索注册表后才能找到其加载的服务,但由于其服务名称可以自定义,给搜索判断带来了很大的困难,下图是我使用默认名称搜索到的,其位置在 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\
清除
综上所描, 06 版的清除要比旧版困难的多,其难点就在于服务项的判断和删除,由于可以自定义服务项的名称,传统的扫描判断方法都已经失效,这给清除它带来了重重阻碍,建议做如下判断和清除处理:
1. 使用 Tcpview 查看是否有可疑的 IE 端口打开,鸽子的默认端口为 8000 ,但也可以自定义,一点发现有可疑端口说明你已经中后门。
2. 使用 IceSword 查看系统服务项,由于 IceSword 是一款系统底层安全扫描器,所以可疑的系统服务等加载都显示无疑,如果发现有红色显示就说明你已经被某个加载到服务里启动的后门程序所控制,记下它的服务名称。
3. 打开注册表找到位置在 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ 再找到使用 IceSword 所查找到的服务项目,找到后展开它记下这项服务所加载的文件名称后整个删除其加载的注册表值。
4. 删除注册表加载的服务项值以后重起进入安全模式,打开隐藏的文件和系统保护的隐藏文件,查找刚才所在注册表里找到并记下的文件和它所释放的 DLL 文件,例如 ***.exe ***.dll ***_hook.dll ***Key.DLL 全部删除。
至此,灰鸽子已经完全清除完毕。
