|
|
一、灰鸽子病毒事件& l! W- K1 p) I, x0 ^% Q1 p
`3 i' V `4 q$ @' ?: }' |6 O& t5 @4 z2 X& R4 d
小白:东哥,我最近弄了个新鲜的东西,可以远程控制我家的家电,例如空调,电视,冰箱……
/ j9 n! s' k( @: _6 J9 J
8 g2 g/ ~! X, `4 u4 X+ }; D) p* ?2 _% N$ h& b) h
大东:嗯,这个不错!5 w& _: G( K; X. G @
: ^* ?2 [4 J8 v1 P9 f. J8 b) n: x1 H' Q6 v
手机远程控制空调。图片来源于网络
" ?' P2 H/ P& m' K4 E
/ ~* b3 f) i; t( o$ E: f
+ e' A. X- E# n6 t- _小白: 是啊,最便捷的是有手机、有WIFI就可以实现远程控制功能。7 s) H* I6 o1 F* c4 p
' R9 p: Q u' ?9 v% W0 R0 N' B
; \, g% r. s4 F$ g大东:等一下,便捷中往往隐藏着“邪恶”,你可要小心灰鸽子病毒啊!
~: H& V/ H5 u% r9 t( s& i0 c+ P, ^7 h) [8 q N
; ~0 h2 U* Z5 ?" }7 L小白:灰鸽子病毒?
+ `! Y& S& S/ j+ @9 Q5 H4 K
& g X ]; J) l* x' k: X" _2 Y! G( r, m5 ?
大东:是的。灰鸽子本身是一款远程控制软件,但是因为恶意使用,又被认为是一个集多种控制方法于一体的木马病毒,一旦用户电脑不幸感染,可以说用户的一举一动都在黑客的监控之下,要窃取账号、密码、照片、重要文件都轻而易举。
6 w+ B. F8 S# v% \
8 x8 U# v0 ~! E1 H
# l* {9 ]0 G' o( k+ A7 x; E1 n小白:我的天啊,那我的隐私岂不是完全暴露在大家的面前了?!
; F0 E/ R# N( G) L+ {5 l u
3 b9 M0 B. V6 J0 F1 B; \
! t& F6 e( d( f: u# k0 C# n4 G! W大东:不仅如此,他们还可以连续捕获远程电脑屏幕,还能监控被控电脑上的摄像头,自动开机(不开显示器)并利用摄像头进行录像。; B7 f+ I: E& g4 t) V6 U5 X
# ~2 ?8 B. U( |
) Q0 p% F) f# y. K小白:简直是太可怕了!假如我没洗头、没洗脸、穿着邋遢衣服的样子被拍了下来,上传到网上的话……! ~% o! t" D3 j: C* p$ W) b" f
* `) T( ]. {* z; [$ c5 N
) X1 h0 y' N" Z; g6 t/ X5 I$ P$ U* W1 x/ F
# i* P. V+ G. _4 K8 V; V" q大东:emmmmm……你这个颜值估计上传了也没人看。我们言归正传,继续说灰鸽子的事。随着“灰鸽子2007”的发布,当年仅3月1日至13日,金山毒霸截获的灰鸽子变种数就达到521个。盗号、偷窥、敲诈以及骇人听闻的公开“叫卖”,危害更甚于熊猫烧香。
# @$ R) e8 a9 \" a& ^: e
- h6 Y3 T/ y" U. m
: B" f; T T3 s+ R" z! }小白:这群人简直太可恶了!
9 n2 u, E! q. x& x
) V5 P3 w) v @3 C5 F' p" ]
' a# ^; i+ H) ~大东:而且灰鸽子已不再是一个单纯的病毒,其背后是一条制造病毒、贩卖病毒、病毒培训为一体的黑色产业链,从某种意义上讲,灰鸽子的危害超出熊猫烧香10倍!
+ C) X$ O- K; x) m' `6 ^
& ~6 V/ p6 W! t1 S1 `* m! s' |7 a, i. t- `7 w
灰鸽子产业链示意图。图片来源于网络
4 B9 G/ [$ R S/ v& y+ w; B5 x3 T) S% \/ K( D) L
小白:东哥,那我们就拿灰鸽子一点办法都没有吗?
, A( C3 `+ T& O6 C- C3 M/ G
l, \; E5 {% g# v! }1 U. r& l2 F% h/ D( i
大东:灰鸽子虽然强大,但它并不是完美无缺的。让我为你解析一下这个难缠的病毒。# |2 x5 x. A+ \4 D
" C. {1 J7 G$ h
二、灰鸽子病毒发展史/ X" V% G' p! ?; x6 A. \
' N; t: F0 U( q/ }' M0 d3 b5 T
0 Y# c2 E. l4 v& e* T大东:先来说说灰鸽子病毒的发展史吧。
9 o( l/ w# [& \$ d' ^5 r! X0 Q9 A* q3 m1 D& J
1 G0 M" S9 C. Z* b
小白:好呀,我最喜欢听历史了。. F, G& s; Q3 {0 Y3 W
+ \) _5 W& N: d6 `6 w5 o+ }& \
& Z" F3 T- U$ e% Y8 @1 Y大东:灰鸽子病毒发展分三个时期:诞生期、模仿期、飞速发展期。+ c# G' i( u( D- ]
4 b% I3 D: [! L$ D3 E
6 s0 G! D! k( B4 M
小白:先说说诞生期吧。( F% z4 y' D$ I& l" _" L
! S2 S8 Z. }; c* _/ ~2 O5 {2 F# {5 j" Y& f3 @9 O$ [
大东:诞生期自2001年,灰鸽子诞生之日起,就被反病毒专业人士判定为最具危险性的后门程序,并引发安全领域的高度关注。2004年、2005年、2006年,灰鸽子木马连续三年被国内各大杀毒厂商评选为年度十大病毒,灰鸽子也因此声名大噪,逐步成为媒体以及网民关注的焦点。% P/ T4 z8 `. p; t/ L F, K* L4 \
; I( `+ C3 d2 h- [, _) [9 Y& w0 L: u4 V/ r' a
小白:最具危险性的后门程序,听上去很厉害嘛。$ {1 C/ K T0 p+ }$ I
* E- @: e; i9 N1 D9 C
# e* G! }; @; ]% |5 w& n大东:模仿时期,灰鸽子最早出现的时候是在模仿“冰河”。它采用Delphi编写,采用了源码共享的方式出现在互联网。虽然“灰鸽子”在当时的名气不及“冰河”,但由于开放源码的方式让“灰鸽子”逐渐增大了传播量。
$ ~) w0 T& T8 G9 [
S3 ?) ~! A. y& ]) J' p' | |# n3 ]- E
小白:这么说来冰河是灰鸽子的“前辈”啦!那冰河也是远程控制软件吗?
$ M4 J7 M& a* K8 i: @% ^+ y% H n5 n3 F
$ b/ B. Y" U9 L2 h( c+ ~! r# [大东:是的。冰河的可怕之处在于自动跟踪目标机屏幕变化,同时可以完全模拟键盘及鼠标输入、记录各种口令信息。还包括获取系统信息,例如计算机名、注册公司、当前用户等多项系统数据。远程关机、远程重启计算机、锁定鼠标及锁定注册表等多项功能限制也是他的拿手强项。
. k7 ^; q) u: z" ^$ t6 A$ U
2 n* e; w$ ]+ ^$ u4 j5 Q) Y
& H/ A N' P i, S* v6 B( N q小白:说远了,该说灰鸽子病毒飞速发展时期了。 k3 q9 }# u' h) n
" ]7 O6 v) `/ @8 ~2 a7 M$ X" Y
p# n5 z* V4 a4 s$ Q大东:2004和2005这两年之间,灰鸽子逐步进入了成熟的状态,由于源码的释放,大量变种在互联网中衍生。2004年灰鸽子总共发现了1000多变种,而在2005年,这个数字迅速上升到了3000多。
5 ~' W8 F4 d# n1 V; [. g. I& W. N" N4 w$ S- K7 T8 |1 G' z) G( ^
9 D" k+ Q8 z" Q
小白:变种也太快了吧?!
& T) j) H) x i2 q( J$ D6 o4 k* u" l4 l' c$ n" X
: E& A2 s3 Q& A& a$ O) Q大东:“灰鸽子”最大的危害在于潜伏在用户系统中,由于其使用的“反弹端口”原理,一些在局域网(企业网)中的用户也受到了“灰鸽子”的侵害,使得受害用户数大大提高。2004年的感染统计为103483人,而到2005年数字攀升到890321人。“灰鸽子”本身所具备的键盘记录、屏幕捕捉、文件上传下载和运行、摄像头控制等功能,将使用户没任何隐私可言,更可怕的是服务端高度隐藏自己,使受害者无从得知感染此病毒。9 ?/ n- e- c' n& l- A. g
) M$ A+ G' ]! N; E0 F
% r) O6 \, _1 j$ p. |小白:令人害怕!
1 P4 M4 A6 t" E
8 D, F3 B! E6 X三、灰鸽子病毒清除办法
8 X Q5 w5 D3 `/ q* a( {; ~2 w* [1 w" {9 V
) g' O6 b' d# B* W( ]大东: 但是利用一些检测方法就可以将灰鸽子揪出来。通过研究发现,无论自定义的服务器端文件名是什么,一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点,我们可以较为准确手工检测出灰鸽子服务端。+ p5 x, j3 W0 d; K9 b) p
: f* F* m m: \: n% _2 K
$ w: t8 s% u' Z
小白:那是把“_hook.dll”结尾的文件删掉就可以吗?
3 x& F: z, B d7 O6 R% _# M9 ^2 F9 U* n! i5 [7 E
- w4 d# Q% h( _大东:当然不是那么简单。由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模式下进行,而且要把Windows设置成显示所有文件。并打开Windows的“搜索文件”,文件名称输入“_hook.dll”,搜索位置选择Windows的安装目录(默认98/xp为C:\windows,2k/NT为C:\Winnt)。经过搜索,在Windows目录(不包含子目录)下发现了一个名为Game_Hook.dll的文件。
2 I- L, N# X- Q
; J$ t3 c5 Q" T" j. ?! C0 G% }9 v1 e/ _; y2 a$ e( l
小白:这就是灰鸽子文件了吧!
( H; v# L1 q* X: K8 v* R$ m/ D* t$ n2 d( f1 x3 l" @
; H P2 t" P; |大东:还不能确定。如果Game_Hook.DLL是灰鸽子的文件,则在操作系统安装目录下还会有Game.exe和Game.dll文件。这才是真正的灰鸽子的服务端,不能“冤枉”好人啊!
: T( [; B2 ?/ I% b
/ Y, Y: B$ f; C: {6 \. G. ]5 Q9 }+ h: Q# P5 I5 [4 _, n
Game.exe和Game.dll。图片来源于网络
9 V: ]9 V; R2 S8 M
$ x) U+ d8 [. J- n7 u
: J. Z/ v4 ?. _' l6 R. g小白:原来是在这样。把这几个文件删除就可以和灰鸽子病毒say goodbye了吧!, w; F6 h; y1 n# w. y) X2 d& F
) k+ e6 u' e! W
' T. x: |+ `6 p O, {% ? R) }8 O$ T
大东:总共有两步,这只是其中的一步。首先清除灰鸽子的服务,注意一定要在注册表里完成。清除灰鸽子的服务一定要先备份注册表,或者到纯DOS下将注册表文件更名,然后再去注册表删除灰鸽子的服务。因为病毒会和EXE文件进行关联。
7 |9 _& ]8 N# ]% E# c" Z& z7 c0 F+ W2 V* D6 V
, s3 `( I! [. e1 p9 X小白:东哥,具体应该怎么做啊?教教我呗。
/ e5 ^9 k) P6 A- r, J
7 L( w+ C9 D0 u" k) p* E8 ?$ N3 E- X) E7 m! I
大东:第一步打开注册表编辑器(点击“开始”- “运行”,输入“Regedit.exe”,确定。),打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。第二步点击菜单“编辑” “查找”—“查找目标”输入“game.exe”,点击确定,我们就可以找到灰鸽子的服务项(此例为Game_Server,每个人这个服务项名称是不同的)。第三步删除整个Game_Server项。0 s9 T4 x% D2 r- I. K/ Z
9 y' ~6 d; x Y4 b! L6 b6 Y% K, k
3 Q% j+ ^. M- j8 f& _查找game.exe。图片来源于网络 3 N3 t) T4 r \' w& H" o$ T
; y1 w+ c+ v' E4 J$ J: M/ L
小白:这其中的第二步是不是就是我刚才说的删除Game.exe和Game.dll。' i# v2 R6 x6 o6 z2 x/ w1 S" j
$ u" @- a Y/ ^$ c3 B$ O+ ]/ {
4 X+ i3 }7 Q7 P大东:bingo!你只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件,然后重新启动计算机,就彻底告别灰鸽子病毒了。* G7 ^4 u, c% ^9 }0 E% `
- u$ |, e% }! C0 K四、防范措施1 ?* J$ P: g' L4 J
' J. i, x5 }2 z* E) Q& I0 `: \0 n小白:东哥,那该如何防范灰鸽子这类病毒呢?
. T% z! n: D$ T& n' i& d, Z* v# k- r; d8 R& x* T: g# h8 M6 A
. y4 \: V, i: H0 W
大东:有些办法虽然有些原始,但总是最好用的。比如说给系统安装补丁程序。通过Windows Update安装好系统补丁程序(关键更新、安全更新和Service pack)。
- ~4 m$ b, ~& E6 |# x; c1 c& e$ }5 p0 z, B# l- }
& \' p1 {0 i4 v! \小白:东哥,我们老说打补丁,补丁的专业解释是什么呀?我们为什么要定期打补丁呢?& n) n4 V: F3 w# B4 Q
& I! @% l' r, l7 @, c2 z6 K( ^1 Q: I9 J# F
大东:补丁就是操作系统的不定期错误漏洞修复程序。一般在开发过程中,一开始有很多因素是没有考虑到的,但是随着时间的推移,存在的漏洞问题会慢慢被发现。这时候,为了对系统本身存在的漏洞问题进行修复,系统开发者会发布相应的补丁。黑客如果利用这些漏洞,就可以得到计算机的控制权。' c) l. k- d: u) a
i# U8 L5 I7 v0 Z8 T L$ o/ }. Y- X" R
小白:东哥,还有类似的“原始”方法吗?$ B6 ]4 T- E1 E0 `* c: `
K4 f+ Q; r- E3 t# A
1 U2 `5 ~% n# w x8 P- r
* B& o% M( L/ w, Z
9 P9 f" e8 ^4 z. O: f
大东:给系统管理员帐户设置足够复杂足够强壮的密码,最好能是10位以上,字母+数字+其它符号的组合;也可以禁用/删除一些不使用的帐户。如果记忆力够好,经常改变密码也是也是个不错的选择。# U \" T# I( x I- R) b; V+ f: Q* E) T* w
: N& Q5 m$ B# J4 L6 K Z' h1 f2 [9 w y
5 o( I1 j- m: h4 g+ Q" ~" g1 ?
小白:对,比如说我就经常换密码。
. A* J- ^) e5 O' @7 u* D, E+ L' d3 |" C) F8 S* F4 Q- [0 c) i
6 j% A+ u( Z M2 c8 C
大东:哎,不过你也总是忘记密码。不过单纯地讲,换密码这个习惯还是不错的。9 D5 Y/ T- ?: D3 L( y4 y; A# r( g* Z
+ B% l3 K9 L) w( N: e- o i
+ Y1 Z4 O; e0 {0 d9 ]4 L# N8 R
小白:东哥,你总揭我老底,就不能给我留点面子嘛?4 I. P1 O4 f7 m, F
& U! P# ~7 z6 R# a. D# }" P$ _: \ e& |/ Y
大东:(装作听不见的样子) 嗯,我们继续说防范的方法。经常更新杀毒软件(病毒库),安装并合理使用网络防火墙软件是十分必要的。网络防火墙在防病毒过程中起到至关重要的作用,能有效地阻挡自来网络的攻击和病毒的入侵。
. i9 I2 `$ A- W$ _( }+ |& U& C
- B1 Q* F! ~; t+ J
+ m! `# n# m* p, f3 e9 H小白:东哥,还有吗? A- f2 ~' r7 p$ Z
( o- g! g& `- E, f
+ N7 i3 i3 L' o! P# J大东:关闭一些不需要的服务,条件允许的话可以关闭没有必要的共享,也包括C$、D$等管理共享。完全单机的用户可直接关闭Server服务。
$ t6 J6 g; Q d0 M4 r9 f( I
( ~5 q0 r$ I& v
" O$ w- c- a7 `! A( @小白:懂了。东哥,通过你刚才的讲解,我回忆起来了许多东西。
; O6 x9 c' Y& m
9 X& w# L0 W4 f) d/ X6 ?4 r2 y7 u! V; a& Q. D
大东:温故而知新嘛!6 m+ E5 \& l" t
6 F# t/ U: \4 X& X- |& l; y
7 I% }: Z. W8 u+ h" w S$ H. \来源:中国科学院计算技术研究所
) h0 ~" l" u/ o1 m1 \) X6 z) u4 b2 U2 c6 ]4 Z9 {& f# ?+ [! v! u
' l- R1 M2 j& j/ a0 m温馨提示:近期,微信公众号信息流改版。每个用户可以设置 常读订阅号,这些订阅号将以大卡片的形式展示。因此,如果不想错过“中科院之声”的文章,你一定要进行以下操作:进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」2 p. d! i& E; ^) p- G% z
# p; I: Z3 Y7 r- ~' p0 E- N0 l7 W8 b9 U7 P9 b
4 q) [- M0 ] j$ i% S- {
. [' B# L; i, X0 f; o! _ P+ E! M. j" U- |
, D" x. L/ F5 K5 L
来源:http://mp.weixin.qq.com/s?src=11×tamp=1574510402&ver=1992&signature=Tvxe-dv0Pli2WOy8jx6-Hw7rnv9HYpasycZdOiA27ix8cPjxnROs0K1kkvdUU-4qOv15U3svsKSNcI-QAj5BtJGG0rX5r4iFdLPgzGOu9EXoWlxVCaXxE1chtktOJjK2&new=1/ D5 a0 U* D4 s' t' X
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?立即注册
×
|
/6 
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-11-23 20:40:29
