最近关于“灰鸽子2005”的问题比较多,我们这里就简单讲一下如何处理。
这次的灰鸽子(GrayPigeonServer,一些反病毒软件报的名字是Feutel)不是很容易对付,在被感染的系统%Windows%目录下生成三个病毒文件,格式是这样的:
文件名.EXE
文件名.DLL
文件名_HOOK.DLL
比较多见的文件名是:G_Server.exe、G_Server.dll和G_Server_Hook.dll,EXE文件可能经UPX或FSG压缩打包,以下就以这种文件名来做说明。
在Windows 9x系统中,它可以建立一个G_Server.exe的启动项,在Windows 2000/XP等系统中它建立的是服务,当感染系统后,G_Server.dll插入到Explorer.exe或IExplore.exe的进程中,G_Server_Hook.DLL则会插入到全部的进程中,大家在处理的时候也感觉有些麻烦。
这个灰鸽子(GrayPigeonServer)还使用了某些技术把自身文件和服务信息隐藏起来,使得大家在正常模式下根本找不到这三个病毒文件。怎么办呢?我们还是有办法搞定它。
在Windows 9x系统中,你可以先找到病毒建立的那个启动项,把它删除,然后重新启动计算机,重启后尝试找到并删除那三个文件。在Windows 2000/XP的系统中,你可以先把它建立的服务去掉,到注册表编辑器中找到它所建立的那个服务,打开注册表编辑器先定位到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services,然后再找它建立的服务项,比如GrayPigeonServer,找到后删除它并重新启动计算机,重启后查找删除那三个病毒文件就行,这样就不是很麻烦了。
附:这里附件中的Anti_GPS.reg是一个删除服务名为“GrayPigeonServer”灰鸽子的REG文件,因为服务名是GrayPigeonServer的情况可能相对多一些,大家可以直接运行Anti_GPS.reg导入注册表,免去手动删除服务信息的麻烦。
另外大家遇到比较多的情况仍然是一些恶意网站上的木马和一些Sdbot、Spybot、Agobot(Gaobot)之类的,这里再次强调,该装的补丁一定要装好,安全预防不可松懈。
1. 给系统安装补丁程序。通过Windows Update安装好系统补丁程序(关键更新、安全更新和Service pack),其中MS04-011、MS04-012、MS04-013、MS03-001、MS03-007、MS03-049、MS04-032等都被病毒广泛利用,是非常必要的补丁程序
2. 给系统管理员帐户设置足够复杂足够强壮的密码,最好能是10位以上,字母+数字+其它符号的组合;也可以禁用/删除一些不使用的帐户
3. 经常更新杀毒软件(病毒库),设置允许的可设置为每天定时自动更新。安装并合理使用网络防火墙软件,网络防火墙在防病毒过程中也可以起到至关重要的作用,能有效地阻挡自来网络的攻击和病毒的入侵。部分盗版Windows用户不能正常安装补丁,这点也比较无奈,这部分用户不妨通过使用网络防火墙来进行一定防护
4. 关闭一些不需要的服务,条件允许的可关闭没有必要的共享,也包括C$、D$等管理共享。完全单机的用户可直接关闭Server服务
5. 不要随便打开或运行陌生、可疑文件和程序,如邮件中的奇怪附件,外挂程序等。
或