2006年最疯狂的莫过于灰鸽子木马,因其加壳成功率相对较高,并通过特殊技术处理,修改病毒文件的方式逃过杀毒软件的追杀,有时恶意用户还会进行查找病毒文件中被杀毒软件扫描的特征部分,加以修改,使其特征值与杀毒软件的病毒库不匹配,进行多次加壳方式来达到目的,形成了已知病毒躲避杀毒软件的查杀功能,即成为传说中的免杀版。灰鸽子进驻系统后十分令人讨厌,可以监看用户各种信息,并可控制远程摄像头进行拍摄,一不留神即将带来各种损失。其清除方法虽然步骤复杂,但依然可以清除,其方法如下:
一、启动系统按F8键进入计算机安全模式,用文件查找功能找出ok88.dll、ok88_Hook.dll和ok88.dll这三个文件(提示:ok88此文件名是根据程序所命名的不同而改变)一一删除。(图一)
 |
文件搜索图
二、进入注册表在其中找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services项,在其中查找服务所对应的可疑可执行程序,将其删除便可清除木马服务,稍微有点知识的网络管理人员可利用DOS下的netstat -an命令及灰鸽子攻击器工具对其进行反攻击。
蜜蜂大盗(Win32.Troj.MiFeng70)可盗取一系列网络游戏如:奇迹、千年、红月、倚天、决战、大话西游、石器时代、遗忘传说、DVAQ、腾迅QQ、传奇等帐号密码,此木马运行后会将自身复制到系统目录下,文件名保持不变,在系统安装目录中生成isUn0404.exe、isUn0804.exe、isUninst.exe;在注册表主键HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下添加键值"internet"="%SYSTEM%"\%VIRUSNAME%";对注册表主键HKLM\SOFTWARE\Classes \xtfile\shell\open\command修改键值"默认"="%SYSTEM%"\%VIRUSNAME%" "%1"(图二);
|
灰鸽子注册表键值图
在C:Autoexec.bat中添加内容net stop "Internet Connection Firewall(ICF)/Internet Connection Sharing(ICS)">C:BOOTEX.LOG,作为一般用户这里建意重装系统,而专业用户也得依照上面的述说小心应对。
