蔡逸竹

　　最近網路上關於灰鴿子的消息鋪天蓋地，不過大多數網友並不真正瞭解灰鴿子究竟為何物。今天2345說網解絡就會為您全面的剖析灰鴿子的發展、傳播、預防及解決方案。


　　灰鴿子病毒英文名為win32.hack.huigezi，這個木馬黑客工具大致於2001年出現在互聯網，當時被判定為高危木馬，經過作者的不懈努力，該病毒從2004年起連續三年榮登國內10大病毒排行榜，至今已經衍生出超過6萬個變種。

　　認識灰鴿子：

　　幾乎所有人都知道熊貓燒香，就是因為這個病毒有個明顯的圖標。而灰鴿子木馬病毒入侵系統後，只有非常有經驗的電腦用戶才可能發現異常，普通用戶根本毫不知情，就好比有個會隱形術的賊在你家中長駐。

　　灰鴿子病毒的文件名由攻擊者任意定制，病毒還可以注入正常程序的進程隱藏自己， Windows的任務管理器看不到病毒存在，需要借助第三方工具軟件查看。

　　中灰鴿子病毒後的電腦會被遠程攻擊者完全控制，具備和你一樣的管理權限，遠程黑客可以輕易的複製、刪除、上傳、下載保存在你電腦上的文件，機密文件在你毫不知情的情況下被竊取。病毒還可以記錄每一個點擊鍵盤的操作，你的QQ號、網絡遊戲帳號、網上銀行帳號，可以被遠程攻擊者輕鬆獲得。更變態的是，遠程攻擊者可以直接控制你的攝像頭，把你家裡拍個遍。並且，遠程攻擊者在竊取資料後，還可以遠程將病毒卸載，達到銷毀證據的目的。這好比隱形的賊在你家拿走東西，大大方方的從隱形的門走出去，而你卻根本不知道自己丟了東西。

　　灰鴿子如何傳播？

　　灰鴿子自身並不具備傳播性，一般通過捆綁的方式進行傳播。灰鴿子傳播的四大途徑：網頁傳播、郵件傳播、IM聊天工具傳播、非法軟件傳播。

　　網頁傳播：病毒製作者將灰鴿子病毒植入網頁中，用戶瀏覽即感染；

　　郵件傳播：灰鴿子被捆綁在郵件附件中進行傳播；

　　IM聊天工具傳播：通過即時聊天工具傳播攜帶灰鴿子的網頁鏈接或文件。

　　非法軟件傳播：病毒製作者將灰鴿子病毒捆綁進各種非法軟件，用戶下載解壓安裝即感染。

　　預防：

　　灰鴿子病毒氾濫已經數年，變種數萬，因為病毒具備很好的隱形特性，讓人覺得防不勝防。建議網友注意以下幾點：

　　1.金山毒霸的用戶建議使用漏洞掃瞄修復功能安裝系統補丁，在毒霸彈出提醒安裝補丁的對話框時，一定要點安裝。不是毒霸的用戶可以使用Windows Update進行修補。特別注意安裝IE瀏覽器的補丁程序，很多灰鴿子是攻擊者故意把病毒放在帶漏洞攻擊程序的網站上，有漏洞的機器訪問這些網站就會中毒。

　　2.及時升級殺毒軟件，注意檢查你使用的殺毒軟件是否過期，使用盜版殺毒軟件（或者一個正版ID用在多台計算機上），是不能正常升級的，特別需要檢查。

　　3.對朋友或陌生人發送來的可疑程序不要運行，別被對方的謊言蒙騙。

　　4.關閉所有磁盤的自動播放功能，避免插入帶毒U盤，移動硬盤，數碼存儲卡中毒。

　　解決方案：

　　由於灰鴿子本身的隱蔽性很強，用Windows系統自帶的工具，很難發現灰鴿子入侵。那我們如何去發現電腦中已經被植入的灰鴿子病毒呢？

　　1.金山毒霸數據流殺毒方案

　　金山毒霸2007的數據流殺毒技術，可實時檢測清除各種經過特殊變形加殼處理過的灰鴿子病毒。


　　2.灰鴿子病毒專殺工具

　　金山毒霸提供了免費的「灰鴿子」專殺工具，將數據流查殺技術集成到這個專殺工具中，可完全清除各種經過特殊變形處理的灰鴿子病毒。

　　3.手工殺毒

　　需要借助工具軟件：冰刃。一般用戶無法根據進程列表看出哪個是病毒，你可以啟動冰刃的同時，打開任務管理器，比較一下，看冰刃裡多出的一個進程，可能就是灰鴿子病毒。進程名如果是假冒word、記事本的圖標，需要重點關注。
　　

　　選中上圖G_server2007進程，單擊右鍵，結束進程。結束進程後，我們直接根據上圖冰刃的提示，點冰刃左邊的文件，瀏覽到上圖程序名稱提示的文件夾，找到g_server2007.exe和g_server2007.DLL（灰鴿子中毒後的文件名各不相同，是由攻擊者定制的，應盡可能根據冰刃提示的路徑去查找。有的版本帶有_hook.dll，可以查看下文件日期，應該是同時生成的。）點擊右鍵，徹底刪除掉。