病毒专攻杀毒软件 专家教你三招识别橙色八月病毒
8月3日以来，瑞星全球反病毒监测网截获到数十个“反常的”恶性病毒，它们除了有正常的危害之外，还会造成主流杀毒软件和个人防火墙无法打开，甚至导致杀毒时系统出现“蓝屏”、自动重启、死机等状况。这些病毒包括“传奇终结者（Trojan.PSW.LMir）”、“QQ通行证（Trojan.PSW.QQPass）”以及“密西木马（Trojan.PSW.Misc）”等病毒的最新变种。瑞星已发布今年首次橙色（二级）安全警报，提醒广大用户警惕此类病毒。

    针对此类病毒，可用简单的三个方法对它们进行识别：

第一招

    打开“我的电脑”，选择菜单“工具”-》“文件夹选项”，点击“查看”，取消“隐藏受保护的操作系统文件”前的对勾，并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”，同时取消掉“隐藏已知文件类型的扩展名”前的对勾，然后点击“确定”。



    进入C:\windows\system32目录下（Windows2000系统为C:\WINNT目录），若发现有名为“command”、“dxdiaq.com”、“finder.com”、“MSCONFIG.COM”、“regedit.com”以及“rundll32.com”等文件生成，则说明是中了“密西木马（Trojan.PSW.Misc）”或其变种病毒。



第二招

    点击“开始”按钮，选择“运行”，输入“regedit”并确定，启动注册表编辑器。打开“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows”项，在右边的窗口中查找AppInit_DLLs。若其值为“KB（中间六位数字）M.LOG”，如“KB896588M.LOG”、“KB235780M.LOG”、“KB75976M.LOG”等，则说明是中了新的“传奇终结者（Trojan.PSW.LMir）”及其变种病毒。



第三招

同时按下键盘CTRL+ALT+DEL键，或右键点击任务栏，选择“任务管理器”。单击“进程”标签。如果找到名为“SVOHOST.EXE”的进程，则说明已感染了“QQ通行证（Trojan.PSW.QQPass）”病毒或其变种。



    若发现感染病毒可登陆瑞星网站下载免费的专杀工具进行查杀。用户也可以登录http://help.rising.com.cn，通过“在线专家门诊”寻求远程救助，或拨打反病毒急救电话：010-82678800寻求帮助。

魔波”高危病毒现身 专家称其可能会大规模爆发
瑞星黄色（三级）安全警报
[快讯]8月14日上午，瑞星全球反病毒监测网在国内率先截获到两个利用系统高危漏洞进行传播的恶性病毒——“魔波（Worm.Mocbot.a）”和“魔波变种B(Worm.Mocbot.b)病毒。据瑞星客户服务中心统计，目前国内已有数千用户遭受到该病毒攻击。

    瑞星反病毒专家介绍说，该病毒会利用微软MS06-040高危漏洞进行传播。当用户的计算机遭受到该病毒攻击时，会出现系统服务崩溃，无法上网等症状。由于该病毒出现离微软发布补丁程序只有短短几天时间，有很多用户还没有来得及对系统进行更新。

    因此，瑞星发出黄色（三级）安全警报，瑞星反病毒专家预测将会有更多的电脑受到该病毒攻击，“魔波”病毒甚至有可能会像“冲击波”、“震荡波”病毒一样大规模爆发。


 


    根据分析，“魔波”病毒会自动在网络上搜索具有系统漏洞的电脑，并直接引导这些电脑下载病毒文件并执行。只要这些用户的电脑没有安装补丁程序并接入互联网，就有可能被感染。感染该病毒的计算机会自动连接特定IRC服务器的特定频道，接受黑客远程控制命令。用户的银行卡帐号、密码及其它隐私信息都有可能被黑客窃取。由于病毒连接的IRC服务器在中国镜内，因此该病毒很有可能为国人编写。

    针对此恶性病毒，瑞星已经升级。瑞星杀毒软件2006版18.40.01版及更高版本可彻底查杀此病毒，请广大用户及时升级杀毒软件。同时，瑞星建议用户开启瑞星个人防火墙2006版，并关闭139及445端口。同时，登陆微软网站下载并安装MS-06-040补丁程序以防范此病毒攻击。遭受到该病毒攻击的用户，也可以拨打反病毒急救电话：010-82678800寻求帮助。

（注：该等级警报为2006年度第一次发布）

新病毒八月肆虐互联网 三步清除“魔波”病毒
8月14日上午，瑞星全球反病毒监测网在国内率先截获到两个利用系统高危漏洞进行传播的恶性病毒——“魔波（Worm.Mocbot.a）”和“魔波变种B(Worm.Mocbot.b)病毒。据瑞星客户服务中心统计，目前国内已有数千用户遭受到该病毒攻击。

    该病毒会利用微软MS06-040高危漏洞进行传播。当用户的计算机遭受到该病毒攻击时，会出现系统服务崩溃，无法上网等症状。


   

    遇到“魔波”病毒攻击，用户无需恐慌。您只需按照下面三个步骤，即可快速清除该病毒。

第一步：使用个人防火墙拦截病毒攻击

1、 启动瑞星个人防火墙主程序，点击“设置”菜单，选择“IP规则”。

2、 在弹出的“设置瑞星个人防火墙IP规则”窗口中点击“增加规则”按钮。

3、 规则名称填入“MS06-040”，执行动作为“禁止”，然后点击“下一步”。对方地址设置为“任意地址”，本地地址设置为“所有地址”，协议类型选择“TCP”，对方端口选择“任意端口”，本地端口选择“端口列表”并在其下面输入“139,445”，报警方式选择“托盘动画”和“日志记录”两项选中，点击保存。



第二步 打补丁

    您可以登录微软的网站http://www.microsoft.com/china/technet/security/bulletin/MS06-040.mspx下载并安装对应操作系统的补丁程序。建议大家访问http://update.microsoft.com/ 安装所有的关键更新以防止利用其它漏洞进行传播和破坏的病毒。

第三招 清除病毒

    由于该病毒的变种数量较多，每一个变种生成的文件位置都不一样，因此手工清除这个病毒并不是很方便，建议大家升级杀毒软件到最新版本来对此病毒进行查杀。

    针对“魔波”病毒，瑞星已经升级。瑞星杀毒软件2006版18.40.01版及其更高版本可有效查杀此病毒。

网友杀毒经验共享:杀绝灰鸽子（Trojan.Huigezi）
注意：以下清除顺序不可以随意调整。

1.删除灰鸽子服务端程序

由于在Windows环境下灰鸽子的服务端是处于运行状态，无法直接删除，所以必须进入纯DOS状态删除，删除命令如下：
cd c:windowssystem
attrib-r-s-h kernel32.exe
attrib-r-s-h notepod.exe
del kernel32.exe
del notepod.exe

还要注意，如果灰鸽子服务端设置了exe 文件关联的话，将会导致注册表编辑器无法运行，所以在删除服务端之前，先将注册表编辑器重命名，以便以后对注册表进行更改，操作命令如下：
ren c:windows egedit.exe regedit.com

2.删除注册表中启动键
由于我们改了注册表编辑器名称，所以要打开注册表编辑器应为：打开”开始“菜单”中的“运行”然后输入“regedit.com".启动注册表编辑器后，依次打开“HKEY_LOCAL_MACHINESoftwareMicrosoftwindowsCurrent VersionRun"，在右边的窗口中删除名称为”Loadwindows"的键值就可以了。

清除文件关联

灰鸽子可以设置4种文件关联：exe关联，txt关联，ini关联，inf关联，其中exe关联可以和其他三种类型同时存在。

1.解除exe关联：
启动注册表编辑器，然后找到HKEY_CLASSES_ROOTExefileshellOpenCpmmand主键，查看起默认的键值是不是系统默认的“%1%*”，如果被修改，则改成默认值.

2.解除txt关联：
打开注册表的HKEY_CLASSES_ROOT xtfileshellopencommand主键，其默认值的正常参数应该为“C：windows otepad.exe%1",如果不是，请修改为正确数据。

3.解除ini关联：
INI文件的的关联配置保存在注册表HKEY_CLASSES_ROOTInffileshellOpenCpmmand主键下，其默值数据也是“C：windows otepad.exe%1”，如果被修改的话，也要改回来。

4解除inf关联：
打开注册表的HKEY_CLASSES_ROOTInffileshellOpenCpmmand主键，和ini,txt文件关联一样，其默认值也是“C：windows otepad.exe%1”，如果被修改，也要立刻改回正确的数据。

至此，灰鸽子已经被你扫地出门了，你不再担心成为别人"盘中餐”了。

灰鸽子病毒手工清除方法
灰鸽子（Backdoor.Huigezi）作者现在还没有停止对灰鸽子的开发，再加上有些人为了避开杀毒软件的查杀故意给灰鸽子加上各种不同的壳，造成现在网络上不断有新的灰鸽子变种出现。尽管瑞星公司一直在不遗余力地收集最新的灰鸽子样本，但由于变种繁多，还会有一些“漏网之鱼”。如果您的机器出现灰鸽子症状但用瑞星杀毒软件查不到，那很可能是中了还没有被截获的新变种。这个时候，就需要手工杀掉灰鸽子。

    手工清除灰鸽子并不难，重要的是我们必须懂得它的运行原理。

    灰鸽子的运行原理

    灰鸽子木马分两部分：客户端和服务端。黑客（姑且这么称呼吧）操纵着客户端，利用客户端配置生成出一个服务端程序。服务端文件的名字默认为G_Server.exe，然后黑客通过各种渠道传播这个木马（俗称种木马或者开后门）。种木马的手段有很多，比如，黑客可以将它与一张图片绑定，然后假冒成一个羞涩的MM通过QQ把木马传给你，诱骗你运行；也可以建立一个个人网页，诱骗你点击，利用IE漏洞把木马下载到你的机器上并运行；还可以将文件上传到某个软件下载站点，冒充成一个有趣的软件诱骗用户下载……

    G_Server.exe运行后将自己拷贝到Windows目录下(98/xp下为系统盘的windows目录，2k/NT下为系统盘的Winnt目录)，然后再从体内释放G_Server.dll和G_Server_Hook.dll到windows目录下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端，有些灰鸽子会多释放出一个名为G_ServerKey.dll的文件用来记录键盘操作。注意，G_Server.exe这个名称并不固定，它是可以定制的，比如当定制服务端文件名为A.exe时，生成的文件就是A.exe、A.dll和A_Hook.dll。

    Windows目录下的G_Server.exe文件将自己注册成服务（9X系统写注册表启动项），每次开机都能自动运行，运行后启动G_Server.dll和G_Server_Hook.dll并自动退出。G_Server.dll文件实现后门功能，与控制端客户端进行通信；G_Server_Hook.dll则通过拦截API调用来隐藏病毒。因此，中毒后，我们看不到病毒文件，也看不到病毒注册的服务项。随着灰鸽子服务端文件的设置不同，G_Server_Hook.dll有时候附在Explorer.exe的进程空间中，有时候则是附在所有进程中。

    灰鸽子的手工检测

    由于灰鸽子拦截了API调用，在正常模式下木马程序文件和它注册的服务项均被隐藏，也就是说你即使设置了“显示所有隐藏文件”也看不到它们。此外，灰鸽子服务端的文件名也是可以自定义的，这都给手工检测带来了一定的困难。

    但是，通过仔细观察我们发现，对于灰鸽子的检测仍然是有规律可循的。从上面的运行原理分析可以看出，无论自定义的服务器端文件名是什么，一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点，我们可以较为准确手工检测出灰鸽子木马。

    由于正常模式下灰鸽子会隐藏自身，因此检测灰鸽子的操作一定要在安全模式下进行。进入安全模式的方法是：启动计算机，在系统进入Windows启动画面前，按下F8键(或者在启动计算机时按住Ctrl键不放)，在出现的启动选项菜单中，选择“Safe Mode”或“安全模式”。

    1、由于灰鸽子的文件本身具有隐藏属性，因此要设置Windows显示所有文件。打开“我的电脑”，选择菜单“工具”—》“文件夹选项”，点击“查看”，取消“隐藏受保护的操作系统文件”前的对勾，并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”，然后点击“确定”。





    2、打开Windows的“搜索文件”，文件名称输入“_hook.dll”，搜索位置选择Windows的安装目录（默认98/xp为C:windows，2k/NT为C:Winnt）。 




3、经过搜索，我们在Windows目录（不包含子目录）下发现了一个名为Game_Hook.dll的文件。




4、根据灰鸽子原理分析我们知道，如果Game_Hook.DLL是灰鸽子的文件，则在操作系统安装目录下还会有Game.exe和Game.dll文件。打开Windows目录，果然有这两个文件，同时还有一个用于记录键盘操作的GameKey.dll文件。
 



    经过这几步操作我们基本就可以确定这些文件是灰鸽子木马了，下面就可以进行手动清除。另外，如果你发现了瑞星杀毒软件查不到的灰鸽子变种，也欢迎登陆瑞星新病毒上报网站（http://up.rising.com.cn）上传样本。

    灰鸽子的手工清除

    经过上面的分析，清除灰鸽子就很容易了。清除灰鸽子仍然要在安全模式下操作，主要有两步：1、清除灰鸽子的服务；2删除灰鸽子程序文件。

    注意：为防止误操作，清除前一定要做好备份。

    一、清除灰鸽子的服务

    2000／XP系统：

    1、打开注册表编辑器（点击“开始”－》“运行”，输入“Regedit.exe”，确定。），打开 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices注册表项。

    2、点击菜单“编辑”－》“查找”，“查找目标”输入“game.exe”，点击确定，我们就可以找到灰鸽子的服务项（此例为Game_Server）。




    3、删除整个Game_Server项。

    98／me系统：

    在9X下，灰鸽子启动项只有一个，因此清除更为简单。运行注册表编辑器，打开HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun项，我们立即看到名为Game.exe的一项，将Game.exe项删除即可。




    二、删除灰鸽子程序文件

    删除灰鸽子程序文件非常简单，只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件，然后重新启动计算机。至此，灰鸽子已经被清除干净。

    小结

    本文给出了一个手工检测和清除灰鸽子的通用方法，适用于我们看到的大部分灰鸽子木马及其变种，然而仍有极少数变种采用此种方法无法检测和清除。同时，随着灰鸽子新版本的不断推出，作者可能会加入一些新的隐藏方法、防删除手段，手工检测和清除它的难度也会越来越大。当你确定机器中了灰鸽子木马而用本文所述的方法又检测不到时，最好找有经验的朋友帮忙解决。

    同时随着瑞星杀毒软件2005版产品发布，杀毒软件查杀未知病毒的能力得到了进一步提高。经过瑞星公司研发部门的不断努力，灰鸽子病毒可以被安全有效地自动清除，需要用户手动删除它的机会也将越来越少。

恶作剧邮件诱人上钩,不是病毒装病毒！
反病毒公司趋势科技和McAfee昨日宣布，一种恶作剧电子邮件近日在网上迅速传播，它向用户谎称其电脑中藏有名为“sulfnbk.exe”病毒，并一步步诱使用户将该文件删除，最终导致系统出现问题。

　　这种恶作剧邮件煞有介事地说，用户电脑中隐藏的“sulfnbk.exe”病毒将在6月1日发作，届时将删除硬盘中的所有文件和文件夹；邮件还谎称，该“病毒”已通过电子邮件潜入C盘的Windows文件夹下，并逐步“指导”用户搜索硬盘、找出并删除该“病毒”。

　　反病毒专家指出，“sulfnbk.exe”根本不是病毒，而是Windows 98和Windows Me的一个系统文件，其作用是恢复长文件名。幸而这一文件不是很重要，即使被删除，也可从Windows安装盘中提取出来。

　　据趋势科技调查，该恶作剧邮件在本月初开始传播时是用葡萄牙语撰写的，两周后被好事者翻译成英语。几天前，有人还嫌它的影响力不够大，又添油加醋地描述了“病毒”的破坏力并指明发作日期。该公司说，确实有不少用户受到这一邮件的蒙骗。

　　专家指出，后缀名为exe的可执行文件确实易被病毒感染，但最好的判断方法是用杀毒软件查杀，而不是简单地删除了事。

爱情背后的幽灵--情人节与病毒
爱情是美丽、永恒的主题，所以就有了2月14日的情人节。网络时代，爱情依然在被吟唱，只是又多了一位主角—病毒。这些“幽灵”伪装成传送爱情信件的使者，穿梭于网络之间。人们往往会被那些美丽、浪漫的词藻所诱惑，而屡屡中招，那么硬盘被格式化、要么系统造成崩溃。

    一 病毒的恋爱—“爱虫”

    爱情是每个人的权利，所以，我要恋爱，就连病毒也不例外。

    “爱虫”病毒（vbs.loveletter）是一个比较著名的病毒，在2000年的青年节（5月4日）通过互联网传遍全球，它会给每一个渴望爱情的人们发送一封附件名为：Love-Letter-for-you.txt.vbs的病毒邮件，如果用户以为是一封情书而观看的话，病毒便被激活，它会使机器中的十二种文件，将这些文件全部“打上病毒的烙印”，病毒的充分传染，最终会使您的系统崩溃。



    二 病毒情人—“罗米欧与朱丽叶”

    病毒也要告诉你一个关于“罗米欧与朱丽叶”的故事

    “罗米欧与朱丽叶”的故事吸引着古往今来无数人的感谓，已经成了西方爱情的代名词，所以当你收到附件如My Romeo（我的罗米欧）和My Juliet（我的朱丽叶）的邮件时，您会不动心吗？当您动心之时，也就是机器遭殃之日，（worm. Blebla）病毒同样是感染系统中的所有网页类文件，并向发送大量邮件，进行传播。



    三 病毒的约会—“我的晚会”

    我的晚会， 你能拒绝吗？

    如果我请你参加我的晚会，你会拒绝吗？对于恋爱中的情人来说，如果女方收到了这样的邀请信，不但不会拒绝，相反还会很感动，“我的晚会”病毒(worm.myparty)就是利用了人们这样的心理，会发送标题是：“new photos from my party!”

    内容是：Hello
          My party... It was absolutely amazing!
          I have attached my web page with new photos!
          If you can please make color prints of my photos. Thanks!
    附件是： www.myparty.yahoo.com的病毒邮件，如果你信以为真，不但晚会去不成，连计算机也会被病毒控制，病毒会为所欲为。



    四 病毒的”情人节”

    恋爱的人们，来过情人节吧。

    虽然单身汉们总是在落寞地吟唱着“没有情人的情人节”，但有了情人的情人节如果碰到这个病毒,我想心情也不会好多少。该病毒就是“情人节”病毒(vbs.valentin).它会藏在网页文件中并将自已加密，然后通过邮件系统将“情人节的祝福”送到世界各地，附件名是: loveday14-b.hta, 怎么样，够浪漫吧，但如果你查看了该附件，病毒就会运行并监视系统，当机器时间是2月14日时（每个情人不会不知道的节日），病毒便会发作，会将计算机C盘中的所有文件，用一些西班牙语的文本进行覆盖，这就是“情人节”送给你的礼物，下次开机时，C盘系统将会荡然无存，让你在情人节这天永远也不会忘记这个病毒。



    情人节即将来到，浪漫的人们也一定要注意防毒，在网上约会情人的时候，不要成为这些情人病毒的下一个猎物。

    赶快杀毒吧！

不一样的“情人节”病毒
情人节的出现，使天下的男女又多了一个可以在一起的节日，但网恋的男女就没有这么幸运了，他们不但要冒着对方是“恐龙” 的危险，它们还要防止一件事，就是病毒的侵扰，尤其是邮件病毒和网页类病毒，它们会随着节日里上网与收发邮件的激增而大量泛滥。

    情人节到了，下面就给大家介绍几个不同类型的“情人节”病毒，使大家了解一下病毒与情人节的故事。

    情人节（vbs.Valentin）病毒是一个会写情书的病毒。它会将自身用脚本加密引擎加密后插入到HTML文件中，病毒运行时会产生一个名为Main.htm的病毒文件，并拷贝到系统目录中。并搜索outlook的地址薄中的所有邮件地址，向这些地址发送标题为：Feliz san valentin，内容为：Feliz san valentin. Por favor visita...的病毒邮件。

    该病毒还会通过网络聊天工具mIRC的共享目录，并在mIRC的文件夹下建立Script.ini文件，当mIRC下次启动时，病毒便会自动运行，继续传播。

    病毒会在每个月的14号发作，发作时会以一封西斑牙情书的内容覆盖掉硬盘中的所有文件，并将覆盖过的文件扩展名全部改为.txt，使用户的系统完全崩溃，这封情书的内容如下：

    Hola, me llamo Onel2 y voy a utilizar tus archivos para declararle mi amor
    a Davinia, la chica mas guapa del mundo.
    Feliz san Valentin Davinia. Eres la mas bonita y la mas simpatica.
    Todos los dias a todas horas pienso en ti y cada segundo que no te veo
    es un infierno.
    Quieres salir conmigo?
    En cuanto a ti usuario, debo decirte que tus ficheros
    no han sido contaminados por un virus,
    sino sacralizados por el amor que siento por Davinia

    桑河情人（VBS.San）病毒是一个会删除了你的文件还要祝你情人节快乐的病毒。病毒运行时会产生一个Loveday14-a.hta的文件，该文件是编译过的病毒格式，可以被系统自动执行。病毒会将这个情人节的文件放入系统的启动目录，每次开机会病毒会自动运行

    该病毒还会产生一个index.htm的病毒文件，然后拷贝到windows的系统目录下,并将该文件加为outlook邮箱的默认信纸文件，这样，只要用户发信，就可以自动将该病毒发送出去。

    该病毒在每个月8、14、23、29号发作，发作时会将c盘的所有根目录都保留，只将这些根目录中的所有文件及子目录都删除，而且还会建立一个名为：”happysanvalentin”(情人节快乐)的目录，来示威。用户除了系统崩溃外也只能苦笑了，大概这就是爱的代价吧。

    亲密爱人（vbs.candylove）病毒是最浪漫的病毒。该病毒运行时会在C:WINDOWS目录或C:WINNT目录下产生一个名为：ilove.vbs的病毒文件，并修改注册表的自启动项，以便每次开机时自动运行该病毒。

    该病毒会通过系统的wscript引擎无穷地自制自身，感染硬盘中的所有目录。每次会在：Te amo.vbs、Te quiero.vbs、Solo pienso en ti.vbs、Eres lo mejor.vbs、Poemas de amor.vbs、Amigo.vbs这六个文件名中随机选择一个做为病毒文件名，病毒还会对自己的感染进行计数，当病毒发现自己已经感自制了1000次以上，病毒便自动弹出关于情人节的消息框：

    feliz día de san valentín, día del amor, día de la amistad, dia de los enamorados...
    son los mejores desceos del  (FBI) Fuerza Bruta Inteligente ...Hacked oaxaca....tqm..
    cualquier comentario escribir a anonimomix@mixmail.com以示炫耀。

    该病毒在传染时会消耗大量的系统资源，导致系统变慢至到系统停止响应。

    该病毒会在每年的情人节时发作（2月14日），发作时会删除windows文件夹中的所有文件并且执行记事本的1001个拷贝。

系统安全：系统安全之教你手工清除灰鸽子Vip2005
手工清除灰鸽子并不难，重要的是我们必须懂得它的运行原理。

　　灰鸽子的运行原理

　　灰鸽子远程监控软件分两部分：客户端和服务端。黑客（姑且这么称呼吧）操纵着客户端，利用客户端配置生成出一个服务端程序。服务端文件的名字默认为G_Server.exe，然后黑客通过各种渠道传播这个服务端（俗称种木马）。种木马的手段有很多，比如，黑客可以将它与一张图片绑定，然后假冒成一个羞涩的MM通过QQ把木马传给你，诱骗你运行；也可以建立一个个人网页，诱骗你点击，利用IE漏洞把木马下载到你的机器上并运行；还可以将文件上传到某个软件下载站点，冒充成一个有趣的软件诱骗用户下载……这正违背了我们开发灰鸽子的目的，所以本文适用于那些让人非法安装灰鸽子服务端的用户，帮助用户删除灰鸽子Vip2005的服务端程序。本文大部分内容摘自互联网。

　　G_Server.exe运行后将自己拷贝到Windows目录下(Windows98/xp下为系统盘的windows目录，Windows2000/NT下为系统盘的Winnt目录)，然后再从体内释放G_Server.dll和G_Server_Hook.dll到windows目录下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端，有些灰鸽子会多释放出一个名为G_ServerKey.dll的文件用来记录键盘操作。注意，G_Server.exe这个名称并不固定，它是可以定制的，比如当定制服务端文件名为A.exe时，生成的文件就是A.exe、A.dll和A_Hook.dll。

　　Windows目录下的G_Server.exe文件将自己注册成服务（9X系统写注册表启动项），每次开机都能自动运行，运行后启动G_Server.dll和G_Server_Hook.dll并自动退出。G_Server.dll文件实现后门功能，与控制端客户端进行通信；G_Server_Hook.dll则通过拦截API调用来隐藏病毒。因此，中毒后，我们看不到病毒文件，也看不到病毒注册的服务项。随着灰鸽子服务端文件的设置不同，G_Server_Hook.dll有时候附在Explorer.exe的进程空间中，有时候则是附在所有进程中。

　　灰鸽子的手工检测

　　由于灰鸽子拦截了API调用，在正常模式下服务端程序文件和它注册的服务项均被隐藏，也就是说你即使设置了“显示所有隐藏文件”也看不到它们。此外，灰鸽子服务端的文件名也是可以自定义的，这都给手工检测带来了一定的困难。

　　但是，通过仔细观察我们发现，对于灰鸽子的检测仍然是有规律可循的。从上面的运行原理分析可以看出，无论自定义的服务器端文件名是什么，一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点，我们可以较为准确手工检测出灰鸽子服务端。

　　由于正常模式下灰鸽子会隐藏自身，因此检测灰鸽子的操作一定要在安全模式下进行。进入安全模式的方法是：启动计算机，在系统进入Windows启动画面前，按下F8键(或者在启动计算机时按住Ctrl键不放)，在出现的启动选项菜单中，选择“Safe Mode”或“安全模式”。

　　1、由于灰鸽子的文件本身具有隐藏属性，因此要设置Windows显示所有文件。打开“我的电脑”，选择菜单“工具”—》“文件夹选项”，点击“查看”，取消“隐藏受保护的操作系统文件”前的对勾，并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”，然后点击“确定”。

　　2、打开Windows的“搜索文件”，文件名称输入“_hook.dll”，搜索位置选择Windows的安装目录（默认98/xp为C:\windows，2k/NT为C:\Winnt）。

　　3、经过搜索，我们在Windows目录（不包含子目录）下发现了一个名为Game_Hook.dll的文件。

　　4、根据灰鸽子原理分析我们知道，如果Game_Hook.DLL是灰鸽子的文件，则在操作系统安装目录下还会有Game.exe和Game.dll文件。打开Windows目录，果然有这两个文件，同时还有一个用于记录键盘操作的GameKey.dll文件。

　　经过这几步操作我们基本就可以确定这些文件是灰鸽子服务端了，下面就可以进行手动清除。

　　灰鸽子的手工清除

　　经过上面的分析，清除灰鸽子就很容易了。清除灰鸽子仍然要在安全模式下操作，主要有两步：1、清除灰鸽子的服务；2删除灰鸽子程序文件。

　　注意：为防止误操作，清除前一定要做好备份。

　　一、清除灰鸽子的服务

　　Windows2000／WindowsXP系统：

　　1、打开注册表编辑器（点击“开始”－》“运行”，输入“Regedit.exe”，确定。），打开


　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services



　　注册表项。
　　2、点击菜单“编辑”－》“查找”，“查找目标”输入“game.exe”，点击确定，我们就可以找到灰鸽子的服务项（此例为Game_Server）。

　　3、删除整个Game_Server项。

　　Windows98／WindowsME系统：

　　在Windows9X下，灰鸽子启动项只有一个，因此清除更为简单。运行注册表编辑器，打开


　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run



　　项，我们立即看到名为Game.exe的一项，将Game.exe项删除即可。
　　二、删除灰鸽子程序文件

　　删除灰鸽子程序文件非常简单，只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件，然后重新启动计算机。至此，灰鸽子VIP 2005服务端已经被清除干净。

揭秘“熊猫烧香”肆虐内幕 千余家企业网络遭攻击
[快讯] 1月12号，瑞星全球反病毒监测网向企业局域网发布警告，目前“尼姆亚（也称熊猫烧香）”病毒的攻击重点正在转向企业局域网和网站，广大企业和网站应提高警惕紧密防范。瑞星反病毒专家介绍说，该病毒会在中毒电脑中所有的网页文件尾部添加病毒代码。一些网站编辑人员的电脑如果被该病毒感染，上传网页到网站后，就会导致用户浏览这些网站时也被病毒感染。

    据悉，目前多家著名网站已经遭到此类攻击，而相继被植入病毒。由于这些网站的浏览量非常大，致使此次“熊猫烧香”病毒的感染范围非常广，中毒企业和政府机构已经超过千家，其中不乏金融、税务、能源等关系到国计民生的重要单位。

    瑞星反病毒专家介绍说，“熊猫烧香”其实是“尼姆亚”病毒的新变种，最早出现在2006年的11月，到目前为止已经有数十个不同变种，在此期间瑞星已经发布针对该病毒的专杀工具，今天该工具已经升级，用户可以去瑞星网站（http://it.rising.com.cn/Channels/Service/index.shtml）免费下载使用。

    除了通过网站带毒感染用户之外，此病毒还会在局域网中传播，在极短时间之内就可以感染几千台计算机，严重时可以导致网络瘫痪。中毒电脑上会出现“熊猫烧香”图案，所以也被称为“熊猫烧香”病毒。中毒电脑会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。

    那么，用户应该如何防范“熊猫烧香”病毒的攻击？专家建议：

    第一，安装杀毒软件和瑞星卡卡3.1，并在上网时打开网页实时监控。由于现在海底光缆中断，很多国外杀毒软件难以升级，瑞星杀毒软件免费为用户提供一个月服务，可以登陆：http://www.rising.com.cn 免费下载并使用。用户还可以通过瑞星在线专家门诊：http://help.rising.com.cn取得帮助。

    第二，网站管理员应该更改机器密码，以防止病毒通过局域网传播。

    第三，QQ、UC的漏洞已经被该病毒利用，用户应该去他们的官方网站打好最新补丁。

    第四，该病毒会利用IE浏览器的漏洞进行攻击，因此用户应该给IE打好所有的补丁。如果必要的话，用户可以暂时换用Firefox、Opera等比较安全的浏览器。