萬盛學電腦網

 萬盛學電腦網 >> 病毒防治 >> 灰鴿子(HUIGEZI)系列病毒完整解決方案

灰鴿子(HUIGEZI)系列病毒完整解決方案

  灰鴿子病毒英文名為win32.hack.huigezi,這個木馬黑客工具大致於2001年出現在互聯網,當時被判定為高危木馬,經過作者的不懈努力,該病毒從2004年起連續三年榮登國內10大病毒排行榜,至今已經衍生出超過6萬個變種。

  相關文章:金山毒霸官方網站遭惡性木馬團伙攻擊

  認識灰鴿子:

  幾乎所有人都知道熊貓燒香,就是因為這個病毒有個明顯的圖標。而灰鴿子木馬病毒入侵系統後,只有非常有經驗的電腦用戶才可能發現異常,普通用戶根本毫不知情,就好比有個會隱形術的賊在你家中長駐。

  灰鴿子病毒的文件名由攻擊者任意定制,病毒還可以注入正常程序的進程隱藏自己, Windows的任務管理器看不到病毒存在,需要借助第三方工具軟件查看。

  中灰鴿子病毒後的電腦會被遠程攻擊者完全控制,具備和你一樣的管理權限,遠程黑客可以輕易的復制、刪除、上傳、下載保存在你電腦上的文件,機密文件在你毫不知情的情況下被竊取。病毒還可以記錄每一個點擊鍵盤的操作,你的QQ號、網絡游戲帳號、網上銀行帳號,可以被遠程攻擊者輕松獲得。更變態的是,遠程攻擊者可以直接控制你的攝像頭,把你家裡拍個遍。並且,遠程攻擊者在竊取資料後,還可以遠程將病毒卸載,達到銷毀證據的目的。這好比隱形的賊在你家拿走東西,大大方方的從隱形的門走出去,而你卻根本不知道自己丟了東西。

  灰鴿子如何傳播?

  灰鴿子自身並不具備傳播性,一般通過捆綁的方式進行傳播。灰鴿子傳播的四大途徑:網頁傳播、郵件傳播、IM聊天工具傳播、非法軟件傳播。

  網頁傳播:病毒制作者將灰鴿子病毒植入網頁中,用戶浏覽即感染;

  郵件傳播:灰鴿子被捆綁在郵件附件中進行傳播;

  IM聊天工具傳播:通過即時聊天工具傳播攜帶灰鴿子的網頁鏈接或文件。

  非法軟件傳播:病毒制作者將灰鴿子病毒捆綁進各種非法軟件,用戶下載解壓安裝即感染。

  灰鴿子七宗罪

  1.盜號

  灰鴿子入侵用戶電腦後,可通過鍵盤記錄器等手段記錄用戶的鍵盤輸入信息,無論是QQ、網絡游戲、網上銀行的賬號密碼都難逃被盜厄運。熱門網絡游戲魔獸爭霸曾發生一個區服大量賬號短時間內被盜,引起數千玩家集中投訴;此外,2006年10月,BTV7《生活面對面》節目報道網銀賬戶內1萬余元被分15次盜走,警方在事主的電腦查獲灰鴿子病毒。

  2.偷窺隱私

  灰鴿子可通過遠程控制用戶電腦上的攝像頭偷窺用戶隱私。只要用戶的機器處於開機狀態,遠程操控者就可以自動開啟用戶的攝像頭,窺探用戶隱私。知道自己家裡隱藏了一只遠在千裡之外的眼睛,肯定會令你毛骨悚然。

  3.敲詐

  黑客利用灰鴿子病毒完全控制被感染者電腦,電腦中的任何文件都可以任意處置,黑客一旦發現對用戶比較隱私或機密的東西,立刻將其轉移到其他地方,然後對用戶進行勒索,與現實生活中的敲詐一樣,利用網絡進行偷竊、敲詐的行為同樣是違法行為。3月7日,BTV1《法制進行時》曾報道江西瑞金一男子使用木馬程序盜走受害人裸照,並向事主索要14萬元人民幣,最後這名男子以敲詐勒索罪被判有期徒刑6年。

  4.發展“肉雞”

  電腦被人植入木馬,這台主機,就被稱為“肉雞”,遠程攻擊者可以對這台“肉雞”電腦為所欲為。攻擊者可控制大量“肉雞”,進行非法獲利,比如在“肉雞”上植入點擊廣告的軟件;利用肉雞配置代理服務器,以此做為跳板對其它電腦發起入侵。一旦最終受害者追查時,肉雞電腦將會成為替罪羊;此外,還可以用大量肉雞組建僵屍網絡,隨時可以被用於一些特殊目的,比如發起DDoS攻擊等。可以想象,如果大量肉雞被敵對勢力控制,將會對我國的網絡安全造成什麼樣的後果。

  5.盜取商業機密

  通過一些非法途徑讓那些存放商業機密的電腦感染到灰鴿子,接下來,攻擊者竊取有價值的商業文件、機密文件、個人隱私數據等等。攻擊者可以偷偷將商業文件進行販賣,充當商業間諜。如果是國家機密因此受損,後果將不堪設想。

  6.間斷性騷擾

  感染灰鴿子病毒後,遠程攻擊者任意玩弄你的電腦,比如任意打開和關閉文檔,遠程重啟電腦,使您無法完成正常任務。

  7.惡搞性破壞

  看誰不順眼,就可以肆意搞破壞,攻擊者可利用灰鴿子對被感染的用戶電腦為所欲為,修改注冊表、刪除重要文件、修改共享、開啟代理服務器、下載病毒等等,試想如果你電腦的注冊表被惡意篡改、系統文件被刪除,而且電腦中還被放了大量病毒,你的電腦將如何?
  預防:

  灰鴿子病毒泛濫已經數年,變種數萬,因為病毒具備很好的隱形特性,讓人覺得防不勝防。建議網友注意以下幾點:

  1.金山毒霸的用戶建議使用漏洞掃描修復功能安裝系統補丁,在毒霸彈出提醒安裝補丁的對話框時,一定要點安裝。不是毒霸的用戶可以使用Windows Update進行修補。特別注意安裝IE浏覽器的補丁程序,很多灰鴿子是攻擊者故意把病毒放在帶漏洞攻擊程序的網站上,有漏洞的機器訪問這些網站就會中毒。

  2.及時升級殺毒軟件,注意檢查你使用的殺毒軟件是否過期,使用盜版殺毒軟件(或者一個正版ID用在多台計算機上),是不能正常升級的,特別需要檢查。

  3.對朋友或陌生人發送來的可疑程序不要運行,別被對方的謊言蒙騙。

  4.關閉所有磁盤的自動播放功能,避免插入帶毒U盤,移動硬盤,數碼存儲卡中毒。

  解決方案:

  由於灰鴿子本身的隱蔽性很強,用Windows系統自帶的工具,很難發現灰鴿子入侵。那我們如何去發現電腦中已經被植入的灰鴿子病毒呢?

  1.金山毒霸數據流殺毒方案

  金山毒霸2007的數據流殺毒技術,可實時檢測清除各種經過特殊變形加殼處理過的灰鴿子病毒。

  2.灰鴿子病毒專殺工具

  金山毒霸提供了免費的“灰鴿子”專殺工具,將數據流查殺技術集成到這個專殺工具中,可完全清除各種經過特殊變形處理的灰鴿子病毒。

  3.手工殺毒

  需要借助工具軟件:冰刃。一般用戶無法根據進程列表看出哪個是病毒,你可以啟動冰刃的同時,打開任務管理器,比較一下,看冰刃裡多出的一個進程,可能就是灰鴿子病毒。進程名如果是假冒word、記事本的圖標,需要重點關注。

  選中上圖G_server2007進程,單擊右鍵,結束進程。結束進程後,我們直接根據上圖冰刃的提示,點冰刃左邊的文件,浏覽到上圖程序名稱提示的文件夾,找到g_server2007.exe和g_server2007.DLL(灰鴿子中毒後的文件名各不相同,是由攻擊者定制的,應盡可能根據冰刃提示的路徑去查找。有的版本帶有_hook.dll,可以查看下文件日期,應該是同時生成的。)點擊右鍵,徹底刪除掉。

copyright © 萬盛學電腦網 all rights reserved