[其他] 灰鸽子全面解析

最近网络上关于灰鸽子的消息铺天盖地，不过大多数网友并不真正了解灰鸽子究竟为何物。今天2345说网解络就会为您全面的剖析灰鸽子的发展、传播、预防及解决方案。

　　灰鸽子病毒英文名为win32.hack.huigezi，这个木马黑客工具大致于2001年出现在互联网，当时被判定为高危木马，经过作者的不懈努力，该病毒从2004年起连续三年荣登国内10大病毒排行榜，至今已经衍生出超过6万个变种。

　　认识灰鸽子：

　　几乎所有人都知道熊猫烧香，就是因为这个病毒有个明显的图标。而灰鸽子木马病毒入侵系统后，只有非常有经验的电脑用户才可能发现异常，普通用户根本毫不知情，就好比有个会隐形术的贼在你家中长驻。

　　灰鸽子病毒的文件名由攻击者任意定制，病毒还可以注入正常程序的进程隐藏自己， Windows的任务管理器看不到病毒存在，需要借助第三方工具软件查看。

　　中灰鸽子病毒后的电脑会被远程攻击者完全控制，具备和你一样的管理权限，远程黑客可以轻易的复制、删除、上传、下载保存在你电脑上的文件，机密文件在你毫不知情的情况下被窃取。病毒还可以记录每一个点击键盘的操作，你的QQ号、网络游戏帐号、网上银行帐号，可以被远程攻击者轻松获得。更变态的是，远程攻击者可以直接控制你的摄像头，把你家里拍个遍。并且，远程攻击者在窃取资料后，还可以远程将病毒卸载，达到销毁证据的目的。这好比隐形的贼在你家拿走东西，大大方方的从隐形的门走出去，而你却根本不知道自己丢了东西。

　　灰鸽子如何传播？

　　灰鸽子自身并不具备传播性，一般通过捆绑的方式进行传播。灰鸽子传播的四大途径：网页传播、邮件传播、IM聊天工具传播、非法软件传播。

　　网页传播：病毒制作者将灰鸽子病毒植入网页中，用户浏览即感染；

　　邮件传播：灰鸽子被捆绑在邮件附件中进行传播；

　　IM聊天工具传播：通过即时聊天工具传播携带灰鸽子的网页链接或文件。

　　非法软件传播：病毒制作者将灰鸽子病毒捆绑进各种非法软件，用户下载解压安装即感染。

　　预防：

　　灰鸽子病毒泛滥已经数年，变种数万，因为病毒具备很好的隐形特性，让人觉得防不胜防。建议网友注意以下几点：

　　1.金山毒霸的用户建议使用漏洞扫描修复功能安装系统补丁，在毒霸弹出提醒安装补丁的对话框时，一定要点安装。不是毒霸的用户可以使用Windows Update进行修补。特别注意安装IE浏览器的补丁程序，很多灰鸽子是攻击者故意把病毒放在带漏洞攻击程序的网站上，有漏洞的机器访问这些网站就会中毒。

　　2.及时升级杀毒软件，注意检查你使用的杀毒软件是否过期，使用盗版杀毒软件（或者一个正版ID用在多台计算机上），是不能正常升级的，特别需要检查。

　　3.对朋友或陌生人发送来的可疑程序不要运行，别被对方的谎言蒙骗。

　　4.关闭所有磁盘的自动播放功能，避免插入带毒U盘，移动硬盘，数码存储卡中毒。

　　解决方案：

　　由于灰鸽子本身的隐蔽性很强，用Windows系统自带的工具，很难发现灰鸽子入侵。那我们如何去发现电脑中已经被植入的灰鸽子病毒呢？

　　1.金山毒霸数据流杀毒方案

　　金山毒霸2007的数据流杀毒技术，可实时检测清除各种经过特殊变形加壳处理过的灰鸽子病毒。

2.灰鸽子病毒专杀工具

　　金山毒霸提供了免费的“灰鸽子”专杀工具，将数据流查杀技术集成到这个专杀工具中，可完全清除各种经过特殊变形处理的灰鸽子病毒。

　　3.手工杀毒

　　需要借助工具软件：冰刃。一般用户无法根据进程列表看出哪个是病毒，你可以启动冰刃的同时，打开任务管理器，比较一下，看冰刃里多出的一个进程，可能就是灰鸽子病毒。进程名如果是假冒word、记事本的图标，需要重点关注。
选中上图G_server2007进程，单击右键，结束进程。结束进程后，我们直接根据上图冰刃的提示，点冰刃左边的文件，浏览到上图程序名称提示的文件夹，找到g_server2007.exe和g_server2007.DLL（灰鸽子中毒后的文件名各不相同，是由攻击者定制的，应尽可能根据冰刃提示的路径去查找。有的版本带有_hook.dll，可以查看下文件日期，应该是同时生成的。）点击右键，彻底删除掉。