一、厉害之处
⒈马儿健壮
主流的杀毒软件竟然无法查杀灰鸽子。笔者使用的是国内某知名杀毒软件的最新版,不论是灰鸽子的服务端程序还是客户端程序,这个杀毒软件均不报警。用灰鸽子的屏幕捕获功能发现,被控制的20多台肉鸡绝大多数都运行着杀毒软件,这些杀毒软件基本上囊括了国内以及国际上主流的杀毒软件。笔者给一个被控制的肉鸡发了一个文本消息,吓得他用杀毒软件和包括木马克星在内的各种杀马软件扫描电脑,然而遗憾的是,直到现在笔者还用灰鸽子控制着他。
⒉端口反弹,天网防火墙形同虚设
笔者的电脑上安装了最新版本的天网防火墙,在玩灰鸽子的过程中,一不小心,笔者在自己的电脑上运行了灰鸽子的服务端程序,然而,天网防火墙却没有任何报警。
天网防火墙对本地应用程序访问网络的请求管理的不是太严格,而且对已信任的程序访问网络的连接不做任何报警。灰鸽子是一款反弹端口的木马,和传统的木马不一样的是它不监听一个端口等待客户端来连接自己,而是自己以IE浏览器的身份主动去连接客户端,而IE浏览器是天网防火墙默认的已信任程序,所以灰鸽子能够轻易“穿透”天网防火墙。因为灰鸽子是以IE浏览器的身份去访问网络的,而任何防火墙都不会限制IE浏览器浏览网页,所以从理论上来讲,灰鸽子能“穿透”任何防火墙,这一点,鄙人通过已控制的20多台肉鸡得到了证实。
端口反弹木马的工作原理:在传输层,和传统的木马恰恰相反,被控端(服务端)执行客户端的命令,但它不监听一个端口,而是主动去连接客户端;客户端给服务端下达命令,但它不主动去连接服务端,而是开一个端口监听服务端的连接。
⒊反向连接,被控制电脑“自动上线”
灰鸽子是反向连接的木马,也就是说,被控制电脑会主动连接控制端电脑。冰河、BO 2000这些传统的木马要连接被控端电脑必须告知客户端被控电脑的IP地址和端口等信息,而灰鸽子则不同,灰鸽子的客户端启动后,被控制电脑会争先连接到客户端,灰鸽子使用了语音提示的功能,当一台被控制的电脑连接到客户端后,一个标准的女中音会提示:有主机上线,请注意!听着这一声声提示,看着被控制的电脑自动地纷纷出现在“自动上线的主机”列表中(如图1),笔者在想:马儿实在是太可怕了!
图1 灰鸽子服务器端(+上图可点击放大)
⒋客户端程序,能够自定义服务端。
灰鸽子的服务端安装程序由客户端根据自定义设置自动生成。能够自定义的项目包括:服务端安装成功后是否删除安装程序;是否在任务管理器中隐藏进程;是否在注册表中加入启动键项。
另外,在Windows 2000/XP的系统中还可以选择安装成自动启动的服务,服务名称(包括服务的显示名称)可以修改,安装程序的图标也可以选择(自定义服务端是灰鸽子比较重要的特点,在下文中,对它自定义的项目还会提及)。
图2 诱惑下掩藏着危险
如图2所示,这是笔者自定义的灰鸽子服务端的安装程序,从表面上看,它就是一本“e书时空”的电子书,但实际上,只要双击了它,您即可在笔者的“自动上线”里而被控制。笔者把这一电子书共享在一个P2P软件中,不到一个下午的功夫,“自动上线”的主机竟然达到了25台之多。
⒌集大成者,良好的隐藏性使其他后门相形见绌。
比起前辈冰河、黑洞等,从功能上来说,灰鸽子可以说是国内木马的集大成者,大部分木马使用的控制功能它都具备:
1)模枋Windows资源管理器,可以对被控制电脑上的文件进行复制、粘贴、删除、重命名、远程运行等,可以上传下载文件或文件夹,操作简单易用;
2)可以查看被控制电脑的系统信息、剪切板上的信息等;可以远程操作被控制电脑的进程、服务;可以远程禁用被控制电脑的共享和创建新的共享,还可以把被控制电脑设置为一台代理服务器;
3)不但可以连继的捕获远程电脑屏幕,还能把本地的鼠标及键盘操作传送到被控制电脑,实现远程实时控制功能;
4)可以监控被控电脑上的摄像头,还有语音监听和发送功能,可以和被控电脑进行语音对话。
5)灰鸽子还能模拟注册表编辑器,操作远程注册表就像操作本地注册表一样方便;
6)命令广播,如关机、重启或打开网页等,这样单击一个按钮就可以让多台机器同时关机、重启或打开网页等。
灰鸽子除了以上的功能外,它的隐藏性和自我保护也是其它木马不可比拟的。它的文件是隐藏的,进程也是隐藏的,您在任务管理器中也找不到它的踪迹。
朋友们,经过上面的介绍,您是否也和笔者一样感觉到了灰鸽子的厉害之处。虽然杀毒软件和防火墙拿它没办法,但电脑还是要用的,网还是要上的,文件还是要下载的。不要害怕,下面,就一起来发现它并铲除它
二、发现灰鸽子
从目前的状况来说,基本上所有的杀毒软件都不能即时查杀灰鸽子,而灰鸽子又文件隐藏,进程隐藏,唯一能够被看到的是它在Windows“服务”窗口中的服务,但是他的服务名称,服务的显示名称黑客又都可以自定义。如图3所示,这是灰鸽子笔者误安装在自己电脑上的服务名称,不论是灰鸽子的文件名(文件名黑客也可以自定义),还是服务名称或者是该服务的描述,都非常具有迷惑性,对不熟悉Windows服务的一般用户来说,像这样的服务,岂敢禁用或删除。所以说,用一般的方法根本无法确定灰鸽子的存在。
图3 自定义的灰鸽子进程服务
那么怎样才能发现灰鸽子呢?下面是笔者的经验:
⒈根据笔者的经验,目前能够发现灰鸽子行之有效的办法还是使用天网防火墙。天网防火虽然不能拦截灰鸽子和外部的通信,但是天网防火墙能够显示本机与外部通信的所有连接。IE浏览器与服务器的80端口通讯,只有当您打开一个网页时,它才会与众多服务器连接以显示网页上的资源,而灰鸽子服务端则不同,不论您访问网页还是不访问网页,只要黑客启动了客户端并监听一个端口(这个端口黑客也能自定义,默认的监听端口是8000),它就总以IE浏览器的身份主动连接到这个端口(如果客户端没有启动,它会每隔一段时间尝试连接一次)。所以说,如果您没有使用IE浏览网页,而您的IE浏览器有长时间连接到同一个主机的某一端口(如图4),那么就可以初步断定,发起这些连接的绝对不是IE浏览器,十有八九它就是灰鸽子。
图4 用“天网”查看网络连接
⒉灰鸽子是用一个自动启动的服务在开机时加载的,但是该服务与其它自动启动的服务不同,其它自动启动的服务,它的服务状态一般都是“已启动”,但灰鸽子不同,它的服务状态却是“已停止”。如果根据天网防火墙你能初步断定自己可能中了灰鸽子,而且您的电脑中也存在这样的服务,那么现在就可以确定,这个服务就是灰鸽子注册的。
提示:在Windows的“服务”窗口中绝大多数服务项目都是Windows自带的,而且这些服务项目都已得到了微软的认证。现在,好多木马都是通过一个自动启动的服务加载的,但这些服务项目大都没有得到微软的认证。今天,给大家推荐一个工具——Autoruns,该工具能够扫描出系统中所有没有得到微软认证的服务,如图5所示,误安装在自己系统中的灰鸽子豁然在目。
图5 灰鸽子的启动项
三、清除灰鸽子
确定了您的电脑被植入了灰鸽子以后,就可以清除它了。打开Windows的“服务”窗口,双击灰鸽子的服务名称打开其属性对话框,在该对话框的“可执行文件路径”文本框中您能看到灰鸽子的文件名和该文件的路径,记下这个文件名和路径,然后在“启动类型”中选择“已禁用”,最后单击“确定”并重新启动电脑。
重新启动电脑以后,灰鸽子已不能自动加载了,接下来,就可以根据上面记下的文件名和路径删除灰鸽子的文件了。需要说明的是,灰鸽子(灰鸽子的安装程序就是服务端程序,安装时,他会把自己复制到事先定义好的目录中,复制完成后,根据自定义的设置,有时还会删除安装程序以便“焚尸灭迹”)的那个文件是“隐藏”属性,删除时您可能找不到。在资源管理器中选择“工具→文件夹选项”打开“文件夹选项”对话框,清除“隐藏受保护的操作系统文件”复选框中的小钩(如图6),最后单击确定,现在,您就可以看到灰鸽子的那个文件了。
图6 选择此项以查看隐藏文件
把灰鸽子的文件删除后,还需要做个收尾工作,也就是彻底删除Windows“服务”窗口中灰鸽子的服务项目。这个项目被注册在注册表中,只要在注册表中删除了相应的主键,就可心从“服务”窗口中彻底删除它。打开注册表编辑器,在主键[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]下您会找到一个以灰鸽子服务名称(不是服务的显示名称)命名的子键,删除该子键,重新启动电脑,至此,整个灰鸽子就从您的电脑中完全铲除了。