文件[精选]灰鸽子后门木马处理方法

木马后门  时间:2021-04-07  阅读:()

灰鸽子后门木马处理方法backdoor.win32.顾名思义即“灰鸽子后门木马” 制作者把此木马的终端文件制作成一个大小仅为270-280k的自释放安装的压缩包而恶意散布者则通常将其夹在某些文件、电影或程序的压缩包内以达到掩盖的目的这样的“大压缩包”通常形式也是一个【自释放压缩包】但它与一般的自释放压缩包不同在于——散步者在压缩包的〖注释〗里加入了这样几行命令参数

;下面的注释包含自解压脚本命令

Setup=XXX. exe

Silent=1

Overwrite=1

XXX表示“灰鸽子”木马真实文件的伪装名称通常会是诸如“某某软件名” 、 “色情网站密码”等等诱惑性名称大家务必自省自制  

注意就是这样几行脚本命令使得你在警惕性不高的情况下、随意自解压【大压缩包】的同时真正的“灰鸽子”木马注入文件即

“XXX.exe”将在电脑后台以完全静默方式完成“注入”   ——之所以你察觉不到它注入的过程就是“Silent=1”这条命令产生的效果。于是 “灰鸽子”木马便这样悄然地进驻你的电脑里。

从这个注入过程的分析大家可以看出防止

“Backdoor.GPigeon.uac”即“灰鸽子”木马进驻电脑的最主动措施是大家自己平日里使用电脑时多访问正当、有益的网站或网页即便为了获取软件注册工具当然我还是希望大家尊重知识产权积极付费使用正当软件也要到诸如“华军” 、 “太平洋”等大站去不要轻易相信网络上由不明身份的小网页、黑网页提供的所谓“软件注册机” 更不要相信所谓的“成人资讯网站免费会员帐号/破解密码”之类的网络垃圾信息。

一旦Backdoor.GPigeon.uac被注入你的电脑一般情况下最近的各种杀毒软件是能够截杀它但是不能完全、彻底地清除木马的“毒根” 究其原是因为“灰鸽子”的的*.exe文件不能被各杀毒软件查到——“灰鸽子”不属于定时发作型木马只在每次电脑启动到系统正常这一段很短的时间内发作主文件被注册成一个服务每次正常启动将释放*.dll和*_hook.dll病毒体把他们注入像explorer.exe, iexplore. exe,csrss.exe, lsass. exe等系统进程因此各种杀毒软件可以查出并及时截杀但总不能找到“毒根” 。有的朋友常会误认为安全模式下可以用杀毒软件杀掉它但事实上是安全模式下不启动服务 因此所有的*. exe没有被激活当然病毒体也不例外那么它注入病毒体的过程也不发作而多数杀毒软件引擎以病毒运行特征为监视手段没了“注入”这一特征性动作杀毒软件又从何发现病毒呢所以安全模式下多数杀毒软件也不能捉到病毒。但这并不意味着无法根本、彻底地清除“毒根” 在此以我个人的一次清除过程为例给大家推荐一种方式彻底地清除“灰鸽子” 

1启动电脑前先完全断开网络并安装一套最新的“木马克星” 我安装的是V5. 50版本

2正常启动电脑正常后运行“木马克星” 程序将会在系统内找到Backdoor.GPi geon.uac木马的可疑文件我这次发现的是在c:\windows文件夹下的“win32.exe”文件,木马克星会提醒你是否删除此文件结果是不能被删除为什么呢我就在“文件夹选项”的“查看”面板中勾选“显示系统文件夹内容” 、 “显示所有文件及文件夹”两个选项按“确定”按钮。电脑内的所有文件就能完全显示我再访问c:\windows文件夹果然在其中找到“win32.exe”文件——文件图标是一个很普通、很不起眼的图标它被设置成“指读” 、 “系统” 、 “存档”文件而起掩饰作用。我尝试直接将其删除结果仍是无法删除提示是“系统正在使用文件处于保护状态” 。

3重启电脑并按F8进入安全模式再进入该文件这时大家将能看到“win32.exe”文件的真实面目——它正是那个大小为260-280k的文件的复本仍是一个自释放型压缩包也就是它每次电脑启动时它均会将内含的病毒注入explorer.exe, iexplore. exe,csrss.exe, lsass. exe等系统进程。最后 当然是删除此文件

4再次重启在安全模式下 点“运行” 输入“regedit” ,进入注册表在“查找”项内输入病毒文件名这里是“win32.exe” 经过搜索将所有相关的注册表键值删除。

5重启电脑在正常情况下运行“木马克星” 扫描结果是无可疑木马。结果证明了我们采取的手段没有错。

另外对于使用瑞星杀毒软件的朋友通常在中毒之后在完全断开网络的情况下启动电脑如果您打开了瑞星的“开机扫描”功能那么瑞星是能够截杀被注入后的病毒的但也同样需要经过上述手法彻底清除病毒。而且在彻底清除后再次断网启动您会发现病毒没有了截杀病毒的通报也不会出现了

DogYun27.5元/月香港/韩国/日本/美国云服务器,弹性云主机

DogYun怎么样?DogYun是一家2019年成立的国人主机商,称为狗云,提供VPS及独立服务器租用,其中VPS分为经典云和动态云(支持小时计费及随时可删除),DogYun云服务器基于Kernel-based Virtual Machine(Kvm)硬件的完全虚拟化架构,您可以在弹性云中,随时调整CPU,内存,硬盘,网络,IPv4路线(如果该数据中心接入了多条路线)等。DogYun弹性云服务器优...

特网云,美国独立物理服务器 Atom d525 4G 100M 40G防御 280元/月 香港站群 E3-1200V2 8G 10M 1500元/月

特网云为您提供高速、稳定、安全、弹性的云计算服务计算、存储、监控、安全,完善的云产品满足您的一切所需,深耕云计算领域10余年;我们拥有前沿的核心技术,始终致力于为政府机构、企业组织和个人开发者提供稳定、安全、可靠、高性价比的云计算产品与服务。公司名:珠海市特网科技有限公司官方网站:https://www.56dr.com特网云为您提供高速、稳定、安全、弹性的云计算服务 计算、存储、监控、安全,完善...

VPSMS:53元/月KVM-512MB/15G SSD/1TB/洛杉矶CN2 GIA

VPSMS最近在做两周年活动,加上双十一也不久了,商家针对美国洛杉矶CN2 GIA线路VPS主机提供月付6.8折,季付6.2折优惠码,同时活动期间充值800元送150元。这是一家由港人和国人合资开办的VPS主机商,提供基于KVM架构的VPS主机,美国洛杉矶安畅的机器,线路方面电信联通CN2 GIA,移动直连,国内访问速度不错。下面分享几款VPS主机配置信息。CPU:1core内存:512MB硬盘:...

木马后门为你推荐
公告编号:2020-004苹果appstore宕机为什App Store下载软件 到了一半就停了 不动了asp.net什么叫ASP.NET?全国企业信息查询网上如何怎么查询全国企业信用信息公示系统查询my.qq.commy.qq.com我是CF会员吗工资internal温州商标注册温州注册公司在哪里注册厦门三五互联科技股份有限公司厦门三五互联科技股份有限公司怎么样?网站制作套餐怎样制作网站,制作网站要钱吗开源网店开源网店iWebMall中会员管理包括哪些只要内容呢?
手机域名注册 江西服务器租用 vps侦探 安云加速器 海外服务器 gomezpeer 免费网络电视 天互数据 cn3 鲁诺 免费网页申请 根服务器 备案空间 太原联通测速 什么是web服务器 摩尔庄园注册 群英网络 购买空间 杭州电信 nnt 更多