說到木馬,最令人惡意和恐懼的應該就是遠程控制木馬了,想象一下��,當你歡快地操作著電腦,和MM聊得火熱的時候���,背后正有一雙邪惡的眼睛盯著你的一切,這種感覺是不是讓人毛骨悚然呢?而在遠程控制木馬中�����,最令國內用戶熟知的應該就是“灰鴿子”木馬了���。作為國內遠程控制木馬的鼻祖����,“灰鴿子”歷經數年,更新了無數個版本����,直至今日仍然是網絡上的頭號公敵���。本期就讓我們來學習一下“灰鴿子”木馬的手工清除方法��。
★編輯提示:“灰鴿子”的前世今生
“灰鴿子”是國內著名的遠程控制木馬���。其豐富而強大的功能���、靈活多變的操作�����、良好的隱藏性使其他后門都相形見絀��。
為什么“灰鴿子”會成為網絡公敵?這與其強大的功能是分不開的。首先是反彈連接功能����,“灰鴿子”是國內首款使用反彈連接功能的遠程控制木馬�,突破了傳統主動連接方式木馬的弊端��,該功能讓“灰鴿子”一下子成為了國內黑客的首眩其次是其隱藏性����,“灰鴿子”誕生之初,即以超強的隱藏性和反查殺能力令殺毒軟件廠商頭痛不已����,最終只得發布專殺工具才得以清除����。
2007年以后�����,“灰鴿子”系列木馬停止了開發�����,但是其愛好者并不甘愿這一著名品牌就此沒落�。直至今日,“灰鴿子”仍然在不斷更新����,當然這都是愛好者自行開發和修改的結果�。
為什么說“灰鴿子”很難清除呢?這是因為“灰鴿子”采用了驅動技術���,在Windows中的權限很高�����,因此殺毒軟件在對其進行查殺后�,只要系統一重啟���,“灰鴿子”就會死灰復燃�����。其實�,要想對付“灰鴿子”�����,掌握手工查殺的技術��,比使用任何殺毒軟件都有效。下面我們就來看看如何手工刪除“灰鴿子”���。
結束進程
要讓運行著的“灰鴿子”失效,首先第一步就是結束“灰鴿子”的進程。當然����,用Windows自帶的“任務管理器”是不行的,功能太弱��,不給力�����。我們得請出專業的安全工具“冰刃”����。雙擊運行“冰刃”���,點擊“進程”按鈕對當前系統中的進程進行檢測�。
通常在這里我們會碰到兩種情況,一種是進程列表中出現了一個紅色字體的進程���,這是因為早期的“灰鴿子”會對系統進程進行dll注入。另一種情況是偽造的系統進程����,例如svchost.exe�,正常的svchost.exe在冰刃中看起來會是一個空白的圖標���,而假的svchost.exe看起來會是一個小電腦的圖標。如果程序名本身就比較可疑�,那么這是最好不過的了�,一眼就能認出來����,例如本例中的“.exe”。找到后在進程上點右鍵,選擇“結束進程”即可。這樣“灰鴿子”就暫時無法運行了。
▲“灰鴿子”的進程
停止服務
結束了進程,為了讓其無法自動啟動�����,我們還要禁止其進程�。點擊“開始”菜單→“運行”�����,輸入“msconfig”運行“系統配置實用程序”���,切換到“服務”標簽�,勾選下方的“隱藏所有Microsoft服務”選項�。這樣非Windows系統的服務就被列出來了,我們要從中尋找可疑的服務�����,本例中為“Windows”��。
▲“灰鴿子”的服務
我們回到“冰刃”���,進入到“服務”功能����,找到“Windows”服務對應的應用程序恰恰就是“.exe”�����,位于C:Windows目錄�����。可見����,這就是“灰鴿子”的服務。
▲禁用“灰鴿子”服務
接下去就好辦了����。在“Windows”服務上點右鍵���,選擇“禁用”�。然后再進入C:Windows目錄����,刪除.exe文件。這樣“灰鴿子”就被徹底清除了。其實不光是“灰鴿子”�����,其他的遠程控制木馬也都可以按照這樣的步驟來手工刪除�����。
