巧用天網防火牆揪出隱藏的灰鴿子

　發現灰鴿子

　　灰鴿子的利害屬於進程插入的反彈型木馬，其利害之處就不再贅述了，從目前的狀況來說，基本上所有的殺毒軟體都不能即時查殺灰鴿子，大部分防火牆也對他束手無策。而灰鴿子又文件隱藏，進程隱藏，唯一能夠被看到的是它在Windows「服務」窗口中的服務，但是他的服務名稱，服務的顯示名稱黑客又都可以自定義。如圖3所示，這是灰鴿子筆者誤安裝在自己電腦上的服務名稱，不論是灰鴿子的文件名（文件名黑客也可以自定義），還是服務名稱或者是該服務的描述，都非常具有迷惑性，對不熟悉Windows服務的一般用戶來說，像這樣的服務，豈敢禁用或刪除。所以說，用一般的方法根本無法確定灰鴿子的存在。

　　

　　圖3 自定義的灰鴿子進程服務

　　那麼怎樣才能發現灰鴿子呢？下面是筆者的經驗：

　　⒈根據筆者的經驗，目前能夠發現灰鴿子行之有效的辦法還是使用天網防火牆。天網防火雖然不能攔截灰鴿子和外部的通信，但是天網防火牆能夠顯示本機與外部通信的所有連接。IE瀏覽器與伺服器的80埠通訊，只有當您打開一個網頁時，它才會與眾多伺服器連接以顯示網頁上的資源，而灰鴿子服務端則不同，不論您訪問網頁還是不訪問網頁，只要黑客啟動了客戶端並監聽一個埠（這個埠黑客也能自定義，默認的監聽埠是8000），它就總以IE瀏覽器的身份主動連接到這個埠（如果客戶端沒有啟動，它會每隔一段時間嘗試連接一次）。所以說，如果您沒有使用IE瀏覽網頁，而您的IE瀏覽器有長時間連接到同一個主機的某一埠（如圖4），那麼就可以初步斷定，發起這些連接的絕對不是IE瀏覽器，十有八九它就是灰鴿子。

　　

　　圖4 用「天網」查看網路連接

　　⒉灰鴿子是用一個自動啟動的服務在開機時載入的，但是該服務與其它自動啟動的服務不同，其它自動啟動的服務，它的服務狀態一般都是「已啟動」，但灰鴿子不同，它的服務狀態卻是「已停止」。如果根據天網防火牆你能初步斷定自己可能中了灰鴿子，而且您的電腦中也存在這樣的服務，那麼現在就可以確定，這個服務就是灰鴿子註冊的。

　　提示：在Windows的「服務」窗口中絕大多數服務項目都是Windows自帶的，而且這些服務項目都已得到了微軟的認證。現在，好多木馬都是通過一個自動啟動的服務載入的，但這些服務項目大都沒有得到微軟的認證。今天，給大家推薦一個工具——Autoruns，該工具能夠掃描出系統中所有沒有得到微軟認證的服務，如圖5所示，誤安裝在自己系統中的灰鴿子豁然在目。

　　

　　圖5 灰鴿子的啟動項

　　　　清除灰鴿子

　　確定了您的電腦被植入了灰鴿子以後，就可以清除它了。打開Windows的「服務」窗口，雙擊灰鴿子的服務名稱打開其屬性對話框，在該對話框的「可執行文件路徑」文本框中您能看到灰鴿子的文件名和該文件的路徑，記下這個文件名和路徑，然後在「啟動類型」中選擇「已禁用」，最後單擊「確定」並重新啟動電腦。

　　重新啟動電腦以後，灰鴿子已不能自動載入了，接下來，就可以根據上面記下的文件名和路徑刪除灰鴿子的文件了。需要說明的是，灰鴿子（灰鴿子的安裝程序就是服務端程序，安裝時，他會把自己複製到事先定義好的目錄中，複製完成後，根據自定義的設置，有時還會刪除安裝程序以便「焚屍滅跡」）的那個文件是「隱藏」屬性，刪除時您可能找不到。在資源管理器中選擇「工具→文件夾選項」打開「文件夾選項」對話框，清除「隱藏受保護的操作系統文件」複選框中的小鉤（如圖6），最後單擊確定，現在，您就可以看到灰鴿子的那個文件了。

　　

　　圖6 選擇此項以查看隱藏文件

　　把灰鴿子的文件刪除后，還需要做個收尾工作，也就是徹底刪除Windows「服務」窗口中灰鴿子的服務項目。這個項目被註冊在註冊表中，只要在註冊表中刪除了相應的主鍵，就可心從「服務」窗口中徹底刪除它。打開註冊表編輯器，在主鍵[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]下您會找到一個以灰鴿子服務名稱（不是服務的顯示名稱）命名的子鍵，刪除該子鍵，重新啟動電腦，至此，整個灰鴿子就從您的電腦中完全剷除了。

　　附：灰鴿子病毒專殺工具，可查殺大部分灰鴿子。

好。支持。