教你手工斩杀"灰鸽子"木马
说到木马,最令人恶意和恐惧的应该就是远程控制木马了,想象一下,当你欢快地操作着电脑,和MM聊得火热的时候,背后正有一双邪恶的眼睛盯着你的一切,这种感觉是不是让人毛骨悚然呢?而在远程控制木马中,最令国内用户熟知的应该就是“灰鸽子”木马了。作为国内远程控制木马的鼻祖,“灰鸽子”历经数年,更新了无数个版本,直至今日仍然是网络上的头号公敌。本期就让我们来学习一下“灰鸽子”木马的手工清除方法。
★编辑提示:“灰鸽子”的前世今生
“灰鸽子”是国内著名的远程控制木马。其丰富而强大的功能、灵活多变的操作、良好的隐藏性使其他后门都相形见绌。
为什么“灰鸽子”会成为网络公敌?这与其强大的功能是分不开的。首先是反弹连接功能,“灰鸽子”是国内首款使用反弹连接功能的远程控制木马,突破了传统主动连接方式木马的弊端,该功能让“灰鸽子”一下子成为了国内黑客的首眩其次是其隐藏性,“灰鸽子”诞生之初,即以超强的隐藏性和反查杀能力令杀毒软件厂商头痛不已,最终只得发布专杀工具才得以清除。
2007年以后,“灰鸽子”系列木马停止了开发,但是其爱好者并不甘愿这一著名品牌就此没落。直至今日,“灰鸽子”仍然在不断更新,当然这都是爱好者自行开发和修改的结果。
为什么说“灰鸽子”很难清除呢?这是因为“灰鸽子”采用了驱动技术,在Windows中的权限很高,因此杀毒软件在对其进行查杀后,只要系统一重启,“灰鸽子”就会死灰复燃。其实,要想对付“灰鸽子”,掌握手工查杀的技术,比使用任何杀毒软件都有效。下面我们就来看看如何手工删除“灰鸽子”。
结束进程
要让运行着的“灰鸽子”失效,首先第一步就是结束“灰鸽子”的进程。当然,用Windows自带的“任务管理器”是不行的,功能太弱,不给力。我们得请出专业的安全工具“冰刃”。双击运行“冰刃”,点击“进程”按钮对当前系统中的进程进行检测。
通常在这里我们会碰到两种情况,一种是进程列表中出现了一个红色字体的进程,这是因为早期的“灰鸽子”会对系统进程进行dll注入。另一种情况是伪造的系统进程,例如svchost.exe,正常的svchost.exe在冰刃中看起来会是一个空白的图标,而假的svchost.exe看起来会是一个小电脑的图标。如果程序名本身就比较可疑,那么这是最好不过的了,一眼就能认出来,例如本例中的“.exe”。找到后在进程上点右键,选择“结束进程”即可。这样“灰鸽子”就暂时无法运行了。
▲“灰鸽子”的进程
停止服务
结束了进程,为了让其无法自动启动,我们还要禁止其进程。点击“开始”菜单→“运行”,输入“msconfig”运行“系统配置实用程序”,切换到“服务”标签,勾选下方的“隐藏所有Microsoft服务”选项。这样非Windows系统的服务就被列出来了,我们要从中寻找可疑的服务,本例中为“Windows”。
▲“灰鸽子”的服务
我们回到“冰刃”,进入到“服务”功能,找到“Windows”服务对应的应用程序恰恰就是“.exe”,位于C:Windows目录。可见,这就是“灰鸽子”的服务。
▲禁用“灰鸽子”服务
接下去就好办了。在“Windows”服务上点右键,选择“禁用”。然后再进入C:Windows目录,删除.exe文件。这样“灰鸽子”就被彻底清除了。其实不光是“灰鸽子”,其他的远程控制木马也都可以按照这样的步骤来手工删除。