使用反Rootkit工具查杀灰鸽子06(以BlackLight做例子)-yjd333-ChinaUnix博客

Yjd‘Blogyjd.blog.chinaunix.net

首页　| 　博文目录　| 　关于我

yjd333

博客访问： 3089393
博文数量： 797
博客积分： 10134
博客等级：上将
技术积分： 9335
用户组：普通用户
注册时间： 2006-06-22 22:57

个人简介

文章分类

全部博文（797）

Code（2）
资讯（95）
Tools（53）
Web（36）

Ftp（10）

Mail（2）

Apache（7）

IIS（3）
SQL（34）

Oracle（2）

MsSqL（11）

MySqL（19）
OS（232）

Windows（76）

Linux（36）

Dos（4）
Cracker（8）
Iptables（36）
虚拟机（10）
Kernel（10）
未分配的博文（281）

文章存档

2022年（1）

2021年（2）

2017年（2）

2016年（1）

2015年（4）

2014年（1）

2013年（6）

2012年（6）

2011年（10）

2010年（26）

2009年（63）

2008年（61）

2007年（51）

2006年（563）

我的朋友

vsyour

最近访客

推荐博文

使用反Rootkit工具查杀灰鸽子06(以BlackLight做例子)

分类：

2006-09-23 04:14:01

使用反Rootkit工具查杀灰鸽子06(以BlackLight做例子)

先在这里感谢sxqqqq,xbs的测试,没有你们帮助,我就不成事了~呵呵

在较早前,灰鸽子工作室推出新版本的灰鸽子-------灰鸽子2006
灰鸽子06有更好的隐藏,在清除一般以前的灰鸽子(eg. 灰鸽子05),我们可以使用HijackThis,System Repair Engineer等工具,查看有没有灰鸽子的服务,但灰鸽子06加入了隐藏服务功能,令HJT,SREng都查不到灰鸽子06的服务.

Q: 那如何知道自己是否中了灰鸽子06?
A: 我们可以从以下方法查看....
1. 利用SREng log,在SREng log,我们看到G_Server2006Key.DLL插入到很多进程.当然,名称不一定是G_Server2006Key.DLL,还可以是svchootKey.DLL,tkabcKey.dll....etc.
名称格式基本都是
****.exe
****.DLL
****Key.DLL
****Key.log

2. 利用IceSword,我们可以用IceSword查看是否有iexplore.exe这个进程和灰鸽子档案
注意:
-这个iexplore.exe,用任务管理器或Process Explorer都是看不到
-记得先关闭所以IE视窗才用IceSword看

但这个方法,只可以确定你的系统有很大机会中了恶意软件,因为PcClient/PcShare以及有一些后门,都会有这个iexplore.exe隐藏进程.

===========================
那知道中了灰鸽子06,What can I do?How can I remove it?
这个是手工查杀,可供参考
1. 下载F-Secure BlackLight,并保存到桌面
http://www.f-secure.com/exclude/blacklight/blbeta.exe

2. 下载完成后,按 Scan 开始扫瞄

3. 扫瞄完成后,F-Secure BlackLight发现灰鸽子06的隐藏进程和隐藏档案,把G_Server2006.DLL,G_Server2006.exe,G_Server2006Key.DLL都 Rename

以下是FS BlackLight的log (以 fsbl 作开头的,扫瞄完成后可以在桌面找到)
04/27/06 11:46:27 [Info]: Hidden process: C:\Program Files\Internet Explorer\IEXPLORE.EXE
04/27/06 11:50:14 [Info]: Hidden file: c:\WINDOWS\G_Server2006.DLL
04/27/06 11:50:14 [Info]: Hidden file: c:\WINDOWS\G_Server2006.exe
04/27/06 11:50:14 [Info]: Hidden file: c:\WINDOWS\G_Server2006Key.DLL

4. F-Secure BlackLight会提示你要重新启动,按 Restart Now 重新启动

5. 重新启动后,你会发现灰鸽子06隐藏档案都被FS BlackLight重新命名,所以直接删除就可以了****

c:\WINDOWS\G_Server2006Key.DLL.ren
c:\WINDOWS\G_Server2006.exe.ren
c:\WINDOWS\G_Server2006.DLL.ren
c:\WINDOWS\G_Server2006Key.log (这个档案记录了你用keyboard输入过什么的)

6. 最后,你可以用HijackThis扫瞄,找出灰鸽子服务名称,把服务从
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services删除

a) 图中的例子,灰鸽子服务名称是office,那就在开始--->运行--->regedit
b) 定位到
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
c) 找出并删除office

PS: HijackThis内的O23项,eg. TKABC (tk) C:\tkabc.exe (file missing),TKABC是显示名称,()内的tk才是服务名称

****: 如果找不到BlackLight log中所提及的档案,可以试试先作出以下设定
a) 在 我的电脑 ,点击工具--->文件夹选项
b) 点查看选项卡,然后去掉 隐藏受保护的操作系统文件 前的勾,点选 显示所有文件和文件夹 ,最后确定

===========================
近期看到的灰鸽子都加入了Rootkit.Vanti,而灰鸽子06就增强了隐藏性,不知道将来的灰鸽子会有什么新招数.....Hides from IceSword?!呵呵
以上都只是我菜鸟分享,如果有任何出错的地方,欢迎PM我

Write-up by: tkabc ( Krazaf/ToNyzzz, john31579 [at] yahoo.com.hk )
Date: 27/4/2006

阅读(1209) | 评论(0) | 转发(0) |

上一篇：安装JDK- -

下一篇：实现RedHat非正常关机的自动磁盘修复

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6