再谈SSM与灰鸽子(Backdoor.Gpigeon)等木马的防治
“怎样挡住灰鸽子”一帖发表后,浏览者颇多。但实际效果如何?我无从考证。
这些天,看了一下求助者的HijackThis日志,发现:有些安装了SSM的朋友,其日志中不但有灰鸽子,而且还有其它木马。
问过一些这样的朋友,回答大多是:SSM的提示看不大明白,稀里糊涂的,就选择了“总是允许此操作”,从而将木马放进系统。
今天,针对这种情况,谈谈犯错后的补救措施。
我们从最“让人晕菜”情形谈起:虽然将SSM设置成系统服务启动加载,SSM工作也正常,但杀软报告中灰鸽子了(且杀不掉)。
这种情形,属于前面说的——灰鸽子进入系统时,自己没看懂SSM提示,稀里糊涂的就选择了“总是允许此操作”,鸽子因此进入系统。
这时,请不要慌。用HijackThis扫个日志,如果自己看不明白,发到论坛上,请能看懂日志的朋友帮助看一下。一般可以发现异常的O23项,如(XP系统):
O23 - NT 服务: Windows Tlme (Windows T1me) - Unknown owner - C:\windows\Windows T1me.exe
顺便解释一下怎么解读这个O23:(Windows T1me) ——灰鸽子在注册表中添加的服务名,位于HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES分支的左栏;C:\windows\Windows T1me.exe ——灰鸽子的可执行文件。
如果灰鸽子进入系统时,因没看懂SSM提示而误选了“总是允许此操作”,那就根据HijackThis日志提示的灰鸽子可执行文件名C:\windows\Windows T1me.exe ,按(图1)提示的操作,用SSM阻止C:\windows\Windows T1me.exe运行。
阻止其启动运行后,再核实一下SSM的设置——确保SSM作为系统服务加载(图2)。
然后重启系统。
这样,鸽子虽然还在你系统中,HijackThis日志中依然能见到异常的O23项(因为还没处理注册表),但只要你的SSM能正常启动运行,这只鸽子已经废了。
以后,再向人求教怎么把鸽子的文件垃圾和注册表垃圾清了,就行了。
有人可能会怀疑我的说法——你怎么就断定这鸽子废了?
有事实为证。
C:\windows\Windows T1me.exe 是个驱动级后门。感染系统后创建下列文件:
C:\windows\system32\cpoiuyk.dll(ROOTKIT)
C:\windows\system32\mainxo.sys(ROOTKIT)
C:\windows\Windows T1me.exe(灰鸽子)
如果这只鸽子没废,在WINDOWS模式下,即使你用IceSword,也删不掉C:\windows\system32\cpoiuyk.dll。
如果你按照上面说的做了,这三个文件可以在WINDOWS下直接删除。
图1
