Chinaunix首页 | 论坛 | 博客
  • 博客访问: 3178556
  • 博文数量: 797
  • 博客积分: 10134
  • 博客等级: 上将
  • 技术积分: 9335
  • 用 户 组: 普通用户
  • 注册时间: 2006-06-22 22:57
个人简介

1

文章分类

全部博文(797)

文章存档

2022年(1)

2021年(2)

2017年(2)

2016年(1)

2015年(4)

2014年(1)

2013年(6)

2012年(6)

2011年(10)

2010年(26)

2009年(63)

2008年(61)

2007年(51)

2006年(563)

我的朋友

分类:

2006-09-23 04:14:01

使用反Rootkit工具查杀灰鸽子06(以BlackLight做例子)

先在这里感谢sxqqqq,xbs的测试,没有你们帮助,我就不成事了~呵呵


在较早前,灰鸽子工作室推出新版本的灰鸽子-------灰鸽子2006
灰鸽子06有更好的隐藏,在清除一般以前的灰鸽子(eg. 灰鸽子05),我们可以使用HijackThis,System Repair Engineer等工具,查看有没有灰鸽子的服务,但灰鸽子06加入了隐藏服务功能,令HJT,SREng都查不到灰鸽子06的服务.

Q: 那如何知道自己是否中了灰鸽子06?
A: 我们可以从以下方法查看....
1. 利用SREng log,在SREng log,我们看到G_Server2006Key.DLL插入到很多进程.当然,名称不一定是G_Server2006Key.DLL,还可以是svchootKey.DLL,tkabcKey.dll....etc.
名称格式基本都是
****.exe
****.DLL
****Key.DLL
****Key.log




2. 利用IceSword,我们可以用IceSword查看是否有iexplore.exe这个进程和灰鸽子档案
注意:
-这个iexplore.exe,用任务管理器或Process Explorer都是看不到
-记得先关闭所以IE视窗才用IceSword看

但这个方法,只可以确定你的系统有很大机会中了恶意软件,因为PcClient/PcShare以及有一些后门,都会有这个iexplore.exe隐藏进程.






===========================
那知道中了灰鸽子06,What can I do?How can I remove it?
这个是手工查杀,可供参考
1. 下载F-Secure BlackLight,并保存到 桌面
http://www.f-secure.com/exclude/blacklight/blbeta.exe

2. 下载完成后,按 Scan 开始扫瞄

3. 扫瞄完成后,F-Secure BlackLight发现灰鸽子06的隐藏进程和隐藏档案,把G_Server2006.DLL,G_Server2006.exe,G_Server2006Key.DLL都 Rename






以下是FS BlackLight的log (以 fsbl 作开头的,扫瞄完成后可以在桌面找到)
04/27/06 11:46:27 [Info]: Hidden process: C:\Program Files\Internet Explorer\IEXPLORE.EXE
04/27/06 11:50:14 [Info]: Hidden file: c:\WINDOWS\G_Server2006.DLL
04/27/06 11:50:14 [Info]: Hidden file: c:\WINDOWS\G_Server2006.exe
04/27/06 11:50:14 [Info]: Hidden file: c:\WINDOWS\G_Server2006Key.DLL


4. F-Secure BlackLight会提示你要重新启动,按 Restart Now 重新启动

5. 重新启动后,你会发现灰鸽子06隐藏档案都被FS BlackLight重新命名,所以直接删除就可以了****



c:\WINDOWS\G_Server2006Key.DLL.ren
c:\WINDOWS\G_Server2006.exe.ren
c:\WINDOWS\G_Server2006.DLL.ren
c:\WINDOWS\G_Server2006Key.log (这个档案记录了你用keyboard输入过什么的)

6. 最后,你可以用HijackThis扫瞄,找出灰鸽子服务名称,把服务从
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services删除



a) 图中的例子,灰鸽子服务名称是office,那就在开始--->运行--->regedit
b) 定位到
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
c) 找出并删除office

PS: HijackThis内的O23项,eg. TKABC (tk)   C:\tkabc.exe (file missing),TKABC是显示名称,()内的tk才是服务名称

****: 如果找不到BlackLight log中所提及的档案,可以试试先作出以下设定
a) 在 我的电脑 ,点击 工具--->文件夹选项
b) 点 查看 选项卡,然后去掉 隐藏受保护的操作系统文件 前的勾,点选 显示所有文件和文件夹 ,最后 确定

===========================
近期看到的灰鸽子都加入了Rootkit.Vanti,而灰鸽子06就增强了隐藏性,不知道将来的灰鸽子会有什么新招数.....Hides from IceSword?!呵呵
以上都只是我菜鸟分享,如果有任何出错的地方,欢迎PM我

Write-up by: tkabc ( Krazaf/ToNyzzz, john31579 [at] yahoo.com.hk )
Date: 27/4/2006

阅读(1256) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~