应对新木马“灰鸽子” (图)

“灰鸽子”挺进版是最近新出的一款恶性木马，它在界面和功能上吸取了木马“冰河”、“黑洞”、“WAY”、“网络神偷”、“广外女生”的优点，集以上木马之大成，并加上一些更加危险的恶意功能，使其在功能上和破坏性方面比起前面那些木马有过之而无不及。于是找了个灰鸽子挺进版，发现该木马还是很有特点，功能也非常强大，自我保护方式也很强悍，对大家的网上安全也有很大的威胁，故撰此文，与大家分享应对它的经验。

“灰鸽子”介绍

1.文件管理器（见图1）。操作远程机器如同本地电脑一样方便、快捷，和“老”木马“冰河”很像。任选一个文件，点击右键，立刻会出现详细的操作菜单，可以复制、删除、下载和运行文件。不过，“灰鸽子”不具备像另一款木马“网络公牛”那样具有修改文件属性的功能。

图1
2.命令控制台（见图2）。“灰鸽子”的全部“精华”可以说都在命令控制台中，比方说“口令类命令”包含“缓存口令”、“历史口令”和“击键记录”，中木马者的一切密码资源都会在对方的掌握之中。用“灰鸽子”还可以共享对方的电脑硬盘，如果给您下木马的人把这个秘密在网上公布，则您的硬盘就成为所有人的公共物品啦。

图2
3.反弹端口和IP定位。所谓的反弹端口就是让木马的服务端主动去找客户端来连接，这样就突破了局域网可以连出去但不能连进来的传统规则。而服务端在广袤的网络中查找客户端的方法就是通过客户端的IP来定位的。事实上，著名的木马“网络神偷”也采用了反弹端口技术，但“网络神偷”为了读取客户端的IP采用的是利用主页空间的办法，即每次打开客户端的时候，都会把自己的IP传送到主页空间来供服务端读取。而“灰鸽子”在这种方法的基础上做出了大胆的变革，他不再利用传统的主页空间的方式来读取客户端IP，而是利用了免费的二级域名，让这个域名指向自己的客户端IP地址，“灰鸽子”服务端只需去读取一个固定的免费域名就可以轻松找到客户端地址了。当客户端IP发生变化时，只需在客户端点击“更新IP地址”，就可以把自己的IP地址传递给潜伏的服务端。“灰鸽子”是第一个使用域名来保存客户端IP，使服务端自动上线可以启动或停止服务器的某项服务！
4.MS-DOS控制台（见图3）。“灰鸽子”作者把原本为“DOS命令行”下的操作变为图形界面的形式，这一来就方便了那些初学者。从另一个角度来看也使“灰鸽子”更流行，更易用，对大家的威胁更大。而且在MS-DOS控制台中还具有“NT类命令”，可以远程启动对方的一系列服务，如IPC、AT、NET USE以及终端等。

图3
5.远程注册表操作功能（见图4）。用“灰鸽子”修改远程注册表就像在本地操作一样直观、方便，极具破坏性。大家可能以为这没有什么了不起，“老迈”的“冰河”都可以做得到的！哈哈，如果您这么想那您就错了，“冰河”对注册表的操作可没有这么直观——得一个字符、一个字符的敲击出来！对了，“灰鸽子”的这个特点可能是吸收了木马“WAY”的特点，“WAY”最为木马高手称道的地方就是远程注册表操作，而“灰鸽子”在这方面有过之而无不及！

图4

6.服务端程序的自我防护。“灰鸽子”不仅增加了监听端口（备用端口可以在主监听端口失效时自动打开提供服务），而且还可以在机器不上网时关闭监听端口来躲过一些依靠端口分析的反黑工具的追踪，以达到隐藏自己的目的。同时，“灰鸽子”还具备服务端图标自定义及欺骗对话框设置功能，比方说提示您文件错误，或弹出个记事本貌似运行成功了等，让人防不胜防。
7. “灰鸽子”最可怕的地方在于它是个定时炸弹，因为您不知道它会什么时间发作，发作后可是会删除系统、格式化硬盘，这招很像病毒。所以大家发现“灰鸽子”后一定要在第一时间删除它。这里教大家一个防止别人格式化您硬盘的小技巧：那就是在每一个分区上都运行一个程序（任意程序），因为有程序运行的话别人就没法格式化您的硬盘了。比如说，您可以把防火墙装在D盘，杀毒软件装在E盘，QQ开在F盘。
8. “灰鸽子”挺进版还具有自动关闭“天网”、“金山”、“瑞星”、“KV反黑王”等防火墙功能！熟悉木马的朋友都知道，以前只有木马黑洞系列（黑洞2000和黑洞2001）和“广外女生”具有关闭防火墙功能，现在“灰鸽子”也加入其中，大家上网时可要看好自己的防火墙哦。
9.其他功能。灰鸽子还具备ICMP攻击和与被控电脑进行文字聊天和语音通讯功能，尤其是进行文字聊天和语音通讯功能（见图5），以前只有“黑洞2001”具有该功能，现在居然也被搬到“灰鸽子”身上！

图5

实际测试及发现木马方法

在配置服务端程序时可以看到，“灰鸽子”潜伏的路径可以是Windows目录、system目录或temp临时文件目录，默认木马程序名为Kernel32.exe，该木马记录QQ密码的默认文件名是huipass.sys文件。遗憾的是，我在测试时没找到该文件的具体位置，因为我运行了N次我的QQ，都没有发现密码被记录。
木马程序server.exe图标为文本文件图标，当系统设置为不显示文件扩展名时，极易被误认为是文本文件而被执行，很具有欺骗性。当您好奇地点击，打算使用这个“记事本”时，潘多拉盒子打开了！噩梦由此开始！点击server.exe后，在C:WINDOWS下多了Notepod.exe文件，挺像记事本程序notepad.exe，同时在C:WINDOWSSYSTEM多了Kernel32.exe文件。
“灰鸽子”是典型的文件关联木马，Kernel32.exe文件用来机器开机时立刻运行打开默认连接的8225端口，同时该文件还和exe文件关联。Notepod.exe文件用来和TXT文件打开方式连起来(即关联)！当中木马者发现自己中了木马而在DOS下把Kernel32.exe文件删除后，服务端就暂时被关闭，即木马暂时删除，当他运行任何文本文件时，隐蔽的Notepod.exe木马文件就又被激活了，于是它再次生成Kernel32.exe文件，即木马又被植入！这也就是这种关联木马难以清除的一个原因。要说明的是，“灰鸽子”允许控制端用户自由定制安装后的木马文件名和所使用的端口，因此如果中了“灰鸽子”，那么您看到的文件名完全可能与此不同，木马连接端口也可能不是8225，本文是按其默认服务端配置来讲的。事实上，“牧马人”还可以使该木马和ini、inf文件进行关联，这样就更隐蔽了。
注册表向来是木马喜欢的歇脚地，“灰鸽子”也不例外。我们来看看灰鸽子躲在注册表的什么对方。
用来在每次开机就运行的Kernel32.exe隐藏在注册表HHKEY_LOCAL_MACHINESoftwareMicrosoftWindows CurrentVersionRunServicesLoadWindowsFile下，键值为C:WINDOWSSYSTEMKernel32.exe；该文件同时还关联exe文件，在注册表HKEY_LOCAL_MACHINESoftware CLASSESexefileshellopencommand下，默认键值被改为：“C:WINDOWSSYSTEMKernel32.exe ”%1“ %*”。用来关联TXT文件的Notepod.exe躲在HKEY_ LOCAL_MACHINESoftwareCLASSEStxtfileshellopencommand下，它将系统默认值由C:WINDOWSNOTEPAD.EXE %1改为了Notepod.exe %1，因此，就算您删除了Kernel32.exe文件，但当您打开有关文本文件时，那个可怕的“幽灵”又回来了——它再次生成Kernel32.exe，演绎了一场经典的“人鬼情未了”大戏。

“灰鸽子”清除方法

如果中了“灰鸽子”，可用以下办法清除：
1.删除服务端程序
由于在Windows环境下“灰鸽子”的服务端程序处于运行状态，无法直接删除，我们要进入纯DOS状态，执行如下命令删除灰鸽子服务端程序（如果您的Windows安装在C:Windows下）：
cd c:windowssystem         
attrib -r -s -h kernel32.exe  //用attrib命令去掉kernel32.exe文件的只读、系统、隐藏属性
attrib -r -s -h notepod.exe  //用attrib命令去掉notepod.exe文件的只读、系统、隐藏属性
del kernel32.exe            
del notepod.exe              
另外，如果我们直接删除了“灰鸽子”服务端程序，而服务端又设置了exe文件关联的话，将会导致注册表编辑器无法运行，所以我们要在删除灰鸽子服务端程序前，先将注册表编辑器regedit.exe改名为regedit.com文件，如果您的Windows安装在C:Windows下，则操作命令如下：
ren c:windowsregedit.exe regedit.com
2.清除注册表中的启动键值
由于我们前面修改了注册表编辑器的名称，所以这里运行注册表编辑器时要打开“开始”菜单中的“运行”，然后输入“regedit.com”，展开注册表到HKEY_LOCAL_MACHINE SoftwareMicrosoftWindows CurrentVersionRun和HKEY_CURRENT_USERSoftwareMicrosoftWindows CurrentVersionRun，在右边的窗口中删除名为“LoadWindows”的键值就可以了。
“灰鸽子”默认设置不关联文件，如果给您下木马的人愿意的话，该木马可以与以下四种文件和木马关联：exe、txt、ini、inf文件，所以我们还要做好修改文件关联的准备。
恢复EXE关联：找到HKEY_CLASSES_ROOTexefile shellopencommand，将其默认键值改成“%1”%*；
恢复TXT关联：HKEY_CLASSES_ROOTtxtfile shellopencommand下的值改为正常情况下的C:windowsnotepad.exe %1；
恢复INI关联：INI文件的关联配置数据保存在注册表HKEY_CLASSES_ROOTInifileShellOpenCommmd主键下，默认键值数据也是“c:Windowsnotepad.exe%1”，如果被修改的话，也要改回来；
恢复INF关联：打开注册表的HKEY_CLASSES_ROOT InifileShellOpenCommmd主键，和INI、TXT文件关联一样，其默认键值数据也是“c:Windowsnotepad.exe%1”，如果被修改的话，要立刻更改回正确的数据。
请大家注意以上清除“灰鸽子”的顺序不可随意调整。至此，“灰鸽子”已经被您彻底扫地出门！世界又恢复和平和稳定了。^_^

作者:小菜