手工清除“灰鴿子”一例

 

這天上午我到了實驗室，打開電腦上網看到一個“免費電話全球打”（計算機愛好者，學習計算機基礎，電腦入門，請到本站http://.，我站同時提供計算機基礎知識教程，計算機基礎知識試題供大家學習和使用），，當即就下載了，解壓運行其中的EXE文件。要知道，我的操作系統是Win2000，已經打上了各種安全補丁，並且KV殺毒軟件也設置了實時監控的。

當我運行那個文件時，KV殺毒軟件就彈出了告警窗口（圖1 ）

計算機基礎知識http://.）/Upfiles/BeyondPic/dnaq/2009-09/20090928154936957.jpg" border=0 style="cursor: pointer" alt="點此在新窗口浏覽圖片" onmousewheel="return bbimg(this)" onload="javascript:resizepic(this)" border="0"/>

◎木馬被隔離

為什麼到這時才發現呢？因為這種木馬采用了“組裝合成法”，就是把一個合法的程序和一個木馬綁定，當運行合法程序時，木馬就自動加載，同時，由於綁定後木馬的代碼發生了變化，根據特征碼掃描的殺毒軟件是很難查出來的。這也就是我中招的原因。

一波三折

中了木馬，就要想辦法清除它。這個木馬已被KV“禁用”，無法與遠程的木馬客戶端進行通信。單從這個角度講，如果不去管它，也無大礙。可每次啟動電腦KV就報告，讓人整天提心吊膽，並且我的Maxthon浏覽器每次關閉網頁窗口，都要彈出“error”提示，這種情況以前從未發生過，顯然是這個木馬搞的鬼！

怎麼辦呢？因為是實驗室的電腦，光驅和軟驅被拆掉了，不支持U盤啟動，也沒有做過Ghost備份，所以既進入不了DOS，也無法用Ghost備份來恢復。我決定先試試在Win2000中能否用KV將木馬清除掉，可當KV查到Winserverhook.dll時，電腦就自動關機重啟了，而且啟動後要藍屏查硬盤！隨後通過多次試驗發現，用KV2004去查，不論是殺毒狀態、查毒狀態還是詢問狀態，只要一查到winServerHook.Dll這個文件，電腦就立刻重啟。而且也無法復制、剪切、刪除和修改winServerHook.Dll這個文件。這使我愈發相信，winServerHook.Dll是個重要的、開機就要調入內存的系統動態鏈接庫（後來的事實證明，這是這個木馬最容易讓人上當之處！）。

此後，我檢查了注冊表和幾個重要的系統文件。傳統的木馬會在注冊表裡或Win.ini、System.ini文件裡留下某些痕跡，例如在注冊表的HKEY_LOCAL_MACHINE \Software\Microsoft\Windows\CurrentVersion \Run中加上可疑的鍵值。檢查結果令人失望，在整個注冊表裡都搜索不到任何有關“huigezi”這個鍵值，“winserver”這個字符串在注冊表中可以找到，但我認為它是系統DLL，也不敢對它下手。

柳暗花明

到此為止我認識到這種木馬不簡單，很可能是采用了DLL動態鏈接庫技術和反彈端口技術。還好被KV及時發現並禁用。它的反彈端口是Game over了，可畢竟它已成功地安裝，它的DLL動態鏈接庫技術就使我難以把它清除掉。

小知識：DLL動態鏈接庫技術

DLL動態鏈接庫技術是用木馬DLL修改或替換常用的系統DLL文件。這樣做能在進程查看器中隱形，而且能隨系統DLL一起開機後自動啟動調入內存運行，難以被發現。即便被發現，也對企圖查殺它的行為起到嚇阻作用，因為查殺它就可能傷害到系統文件，就要冒整個系統崩潰的危險！

小知識：反彈端口型木馬

反彈端口型木馬是針對防火牆對於連入的鏈接會進行非常嚴格的過濾，但是對於連出的鏈接卻疏於防范這一特點進行滲透的。與一般木馬相反，它是用安裝在被控制電腦內部的服務端去主動連接木馬的客戶端，而且用的是合法端口，把數據包含在像HTTP或FTP的報文中。采用這種技術的木馬，一旦被它成功地安裝運行，那中招電腦的防火牆簡直就是形同虛設了。

我嘗試進入Win2000的安全模式，在安全模式中系統只加載一些最基本的系統程序，說不定不會加載winServerHook.Dll這個文件呢。重啟按“F8”鍵進入安全模式，一試果然如此！可以任意對winServerHook.Dll這個文件進行刪除、剪切等操作，說明系統並沒有加載它進內存！我立刻把它復制到D盤做個備份，萬一在清除它所中的木馬時出現什麼問題就D盤的備份進行恢復。然後運行KV來清除木馬，這次順利地清除了，簡直是一帆風順。我重啟電腦進入正常模式了，但是KV2004又彈出了那個陰魂不散的窗口！

為什麼重啟電腦後它又死而復生呢？我決定換種方式，從別的Win2000系統中Copy一個winServerHook.Dll。但我卻驚訝地發現，別人的Win2000系統中竟然沒有這個文件！

手工清除“灰鴿子”一例.