|
|
一、灰鸽子病毒事件# A6 r* d2 T+ I0 l4 L
5 V q# K! E1 K
; G' a) q9 C7 K5 A
小白:东哥,我最近弄了个新鲜的东西,可以远程控制我家的家电,例如空调,电视,冰箱……
% E$ {( V9 C. J8 o) c& [- C- e, \* i$ e. I$ j" N
4 ? `1 m1 m3 f1 K- T* b
大东:嗯,这个不错!( [2 V, E/ c0 _/ ~. c. u3 I
" s1 M& z+ L5 u9 g
$ g R1 i) Z' P$ I9 i2 J
手机远程控制空调。图片来源于网络 : W9 h) L5 p2 F2 `" P' C, w
" O$ D: A7 R. l' o, _ `1 V. E; J! ^6 q7 w
小白: 是啊,最便捷的是有手机、有WIFI就可以实现远程控制功能。- [; ^4 h4 ^& m0 o6 F; G/ v: v; e
, i, g- o5 q+ F) \
4 L2 U( q$ I6 Y, a5 T. P+ c8 k
大东:等一下,便捷中往往隐藏着“邪恶”,你可要小心灰鸽子病毒啊!
( H/ Q3 X0 v/ v$ W2 I4 a6 B
% G3 z' n) y( Y6 ~9 B r
( V. p7 ^- c* Y$ k2 f f小白:灰鸽子病毒?
8 i1 j, {; Y- {
" O% V& M! C2 p! ]0 |% k
: R! O# ], z5 C% }# U0 B- E大东:是的。灰鸽子本身是一款远程控制软件,但是因为恶意使用,又被认为是一个集多种控制方法于一体的木马病毒,一旦用户电脑不幸感染,可以说用户的一举一动都在黑客的监控之下,要窃取账号、密码、照片、重要文件都轻而易举。
6 j9 C7 H0 ^0 V- a4 C: n8 g2 W. m3 Z8 M. q
- s" F# D/ w' b$ V& J0 K! o7 ]' i小白:我的天啊,那我的隐私岂不是完全暴露在大家的面前了?!
3 e9 J* D3 b6 D& x& D x9 P' z& d" j* [4 I7 q- b: U& J
. t( n7 d6 A' }$ N0 t" R' P" m大东:不仅如此,他们还可以连续捕获远程电脑屏幕,还能监控被控电脑上的摄像头,自动开机(不开显示器)并利用摄像头进行录像。
- ~6 k- a& i7 p$ I: Q- V- n2 y1 {" `' x# k7 E9 y2 P
; m z8 [1 L+ m4 p2 D# c% D
小白:简直是太可怕了!假如我没洗头、没洗脸、穿着邋遢衣服的样子被拍了下来,上传到网上的话……! H4 @0 E8 X2 ]- I2 {3 p
: O8 I/ I* V# P% z9 z/ g) y/ e
$ F" H5 i/ S& Z; q5 f) J$ K c7 a$ `" @ c
S' W5 ?" n/ T) I! h, C大东:emmmmm……你这个颜值估计上传了也没人看。我们言归正传,继续说灰鸽子的事。随着“灰鸽子2007”的发布,当年仅3月1日至13日,金山毒霸截获的灰鸽子变种数就达到521个。盗号、偷窥、敲诈以及骇人听闻的公开“叫卖”,危害更甚于熊猫烧香。- B' W' L" d/ c" f6 _. g
9 }* E# }; z# `6 e
7 `3 h$ ] `2 }# H
小白:这群人简直太可恶了!. h$ M; x2 Y1 w0 @$ U9 j4 w" b4 m
: L4 R. j8 b# t1 J" [) _( v% L; I0 ^
, [- x4 n% ^7 k+ O大东:而且灰鸽子已不再是一个单纯的病毒,其背后是一条制造病毒、贩卖病毒、病毒培训为一体的黑色产业链,从某种意义上讲,灰鸽子的危害超出熊猫烧香10倍! , K% _) j0 ?, ^/ V+ h- _, n: V
& O! o; x7 @5 v' b& {% ]) l' s8 |6 F* [8 S/ y
灰鸽子产业链示意图。图片来源于网络
( ^7 l0 j4 P! Y& w( L+ t& K6 Q) j* H- i m" Q7 Q
小白:东哥,那我们就拿灰鸽子一点办法都没有吗?" Q- w1 v" N/ P; \* A! |6 F- }
; ~3 v8 E6 M* `0 A7 j$ @9 e) D# i' q% ?
大东:灰鸽子虽然强大,但它并不是完美无缺的。让我为你解析一下这个难缠的病毒。' r" y4 g0 o# H9 z' d
3 F. R; S4 y1 V$ j0 I
二、灰鸽子病毒发展史: D" ? M, Z% i" K( A& J, V# d5 Y& B6 o
5 K$ Z' f1 y. X4 M$ q# j8 J
2 q1 t% \; |9 U9 s3 t( w' h大东:先来说说灰鸽子病毒的发展史吧。. e) g5 ~5 q6 y. D2 J; k' _( J
8 P- m% D. D7 W: y U
9 s7 J, X9 u$ ?2 F0 f
小白:好呀,我最喜欢听历史了。
+ Y" c6 e, ?( V0 B" D
- v- P+ f7 h4 B& z& G
% n3 K O7 N! f7 e" d4 m3 J2 g- Y大东:灰鸽子病毒发展分三个时期:诞生期、模仿期、飞速发展期。; |5 V8 y% f% ?
; _* j; Q% e; o3 U. l6 h2 e/ M D: l8 P; M. K0 o( s
小白:先说说诞生期吧。
6 a& t8 a: ~! r9 h: E, b
$ O W+ t/ L, [; t$ c6 c2 n1 l
& q, U2 O/ q3 u9 ?大东:诞生期自2001年,灰鸽子诞生之日起,就被反病毒专业人士判定为最具危险性的后门程序,并引发安全领域的高度关注。2004年、2005年、2006年,灰鸽子木马连续三年被国内各大杀毒厂商评选为年度十大病毒,灰鸽子也因此声名大噪,逐步成为媒体以及网民关注的焦点。$ t' j- }3 w- `, m" E
4 |# j& R3 j+ P, [4 }) P+ S
/ R. {3 o" P5 V8 \, P; D
小白:最具危险性的后门程序,听上去很厉害嘛。# B/ o$ {2 M) n c! ?5 C3 n! }! h
1 x' K6 r# b$ ~! o. o
* |6 ] I7 p0 S! k6 m6 S; ~大东:模仿时期,灰鸽子最早出现的时候是在模仿“冰河”。它采用Delphi编写,采用了源码共享的方式出现在互联网。虽然“灰鸽子”在当时的名气不及“冰河”,但由于开放源码的方式让“灰鸽子”逐渐增大了传播量。
$ P; x: P0 n+ t* f% p4 D3 l F* F) X1 E$ t
$ \7 R( l% }2 H* A. k5 {3 t小白:这么说来冰河是灰鸽子的“前辈”啦!那冰河也是远程控制软件吗?/ |; g5 [+ j4 a7 H9 m
7 _; }% f) N6 v) y4 W a0 C* w; D
4 q/ R- L4 u! u8 Q" L2 p N) t k4 y大东:是的。冰河的可怕之处在于自动跟踪目标机屏幕变化,同时可以完全模拟键盘及鼠标输入、记录各种口令信息。还包括获取系统信息,例如计算机名、注册公司、当前用户等多项系统数据。远程关机、远程重启计算机、锁定鼠标及锁定注册表等多项功能限制也是他的拿手强项。
9 L$ T `3 q& R1 ^6 E i# B2 X+ ~ U- ]! @
6 W6 c' D: Z: d* I- z小白:说远了,该说灰鸽子病毒飞速发展时期了。
7 D% E P1 ], S8 l& g8 _+ H* l3 U3 Q4 c& M
+ X. D k2 Z+ N* F) y+ E7 k大东:2004和2005这两年之间,灰鸽子逐步进入了成熟的状态,由于源码的释放,大量变种在互联网中衍生。2004年灰鸽子总共发现了1000多变种,而在2005年,这个数字迅速上升到了3000多。
' M# U. D4 _* D
; R4 G2 u, X' h* b" P
8 W& \3 H& k3 ^: l9 q6 {% K. z( f小白:变种也太快了吧?!. P h6 L% |) V! d( p; P( N Z3 f
! U+ { s9 b P: x
( Y1 y) B7 q+ w) g" F" W大东:“灰鸽子”最大的危害在于潜伏在用户系统中,由于其使用的“反弹端口”原理,一些在局域网(企业网)中的用户也受到了“灰鸽子”的侵害,使得受害用户数大大提高。2004年的感染统计为103483人,而到2005年数字攀升到890321人。“灰鸽子”本身所具备的键盘记录、屏幕捕捉、文件上传下载和运行、摄像头控制等功能,将使用户没任何隐私可言,更可怕的是服务端高度隐藏自己,使受害者无从得知感染此病毒。
3 F% Z7 H* a9 v6 ]8 u' \$ i" Y/ P
% H3 _7 w9 s8 M0 ^0 F$ f. r/ }1 |5 }5 \( F+ |9 c
小白:令人害怕!
( k2 B. M, ]( q) n3 b" J ( M+ H8 g) H" v O) m4 j$ n
三、灰鸽子病毒清除办法
4 J5 H& {' n P1 \4 F& n% r1 j4 B/ m- V8 ]+ j
8 H8 E! h" n+ }2 m大东: 但是利用一些检测方法就可以将灰鸽子揪出来。通过研究发现,无论自定义的服务器端文件名是什么,一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点,我们可以较为准确手工检测出灰鸽子服务端。& R# C# K1 s$ r9 s0 t
5 T4 @- e0 j+ K4 l1 g9 ]
& g$ Z. \0 ^) a' K: \8 P
小白:那是把“_hook.dll”结尾的文件删掉就可以吗?
: m& s R6 q6 J; O, V5 ~1 R5 m7 W7 r; _+ f6 i
5 j: `6 X6 R( [( b
大东:当然不是那么简单。由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模式下进行,而且要把Windows设置成显示所有文件。并打开Windows的“搜索文件”,文件名称输入“_hook.dll”,搜索位置选择Windows的安装目录(默认98/xp为C:\windows,2k/NT为C:\Winnt)。经过搜索,在Windows目录(不包含子目录)下发现了一个名为Game_Hook.dll的文件。
- z" m" a' x8 @% H2 s0 o' ]
1 X0 S- B# `4 m3 |5 e. s" f8 n/ {+ p/ A: W( E" _! ^
小白:这就是灰鸽子文件了吧!; }% y) I0 m6 p6 t$ F+ C' g" W
4 I7 x! ?/ d- | N9 V2 }
5 w. ~1 ^0 c Z6 g# P; ~, U1 ^
大东:还不能确定。如果Game_Hook.DLL是灰鸽子的文件,则在操作系统安装目录下还会有Game.exe和Game.dll文件。这才是真正的灰鸽子的服务端,不能“冤枉”好人啊!
: d, P! T5 ~3 ?
* x z P) M) W- f7 g3 l# k0 |5 I* {/ S" w6 _- v
Game.exe和Game.dll。图片来源于网络 & E; R/ ]) F, G
) q5 a; a4 H8 e9 C& k! s. p) ^% n+ x) S& i
小白:原来是在这样。把这几个文件删除就可以和灰鸽子病毒say goodbye了吧!! L7 ^( G L& P% D. r. {& |
% b4 p+ X6 A/ k; e
# r6 a( U; Z6 F+ @1 q+ |
大东:总共有两步,这只是其中的一步。首先清除灰鸽子的服务,注意一定要在注册表里完成。清除灰鸽子的服务一定要先备份注册表,或者到纯DOS下将注册表文件更名,然后再去注册表删除灰鸽子的服务。因为病毒会和EXE文件进行关联。
8 T9 P; g2 q) B8 W) t/ U* ?
- J0 J4 @& z7 O, b7 {% |* p! B% Z8 |$ u& I7 b
小白:东哥,具体应该怎么做啊?教教我呗。
1 s7 b3 x1 L6 f! z6 T! I, d5 o. g, I
% k+ `9 x, u# H# q0 C0 w- z大东:第一步打开注册表编辑器(点击“开始”- “运行”,输入“Regedit.exe”,确定。),打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。第二步点击菜单“编辑” “查找”—“查找目标”输入“game.exe”,点击确定,我们就可以找到灰鸽子的服务项(此例为Game_Server,每个人这个服务项名称是不同的)。第三步删除整个Game_Server项。
: d: L t5 y6 r0 w. m& e
' }& A' Q- W7 M
# r2 [& H4 {" V1 h8 R3 \查找game.exe。图片来源于网络 % W, V& Z0 I C: @& F
" h0 k! f& T' y, H' k r' V9 e9 ~* c小白:这其中的第二步是不是就是我刚才说的删除Game.exe和Game.dll。8 i$ X4 m1 N* r( G# G
( ~& r2 c1 ^* E4 s
( I8 ^+ S" T4 }大东:bingo!你只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件,然后重新启动计算机,就彻底告别灰鸽子病毒了。" b9 Q2 \9 p$ J: n# a
: F/ U7 i7 C9 C$ w
四、防范措施% D2 h$ v/ D! B% [8 o8 ]
/ c' [, E- K9 z5 g小白:东哥,那该如何防范灰鸽子这类病毒呢?
% Y3 ^' ]! B, [5 u4 K9 ]
! B8 z% h( ^4 e& y, k% _$ X5 I) U9 \9 s; [) ?
大东:有些办法虽然有些原始,但总是最好用的。比如说给系统安装补丁程序。通过Windows Update安装好系统补丁程序(关键更新、安全更新和Service pack)。
% f$ o8 x) P+ t- f' _. F/ e% i" j# j; z' h) h- Z# x ^# A
" r9 Z- I( O/ q' T6 }小白:东哥,我们老说打补丁,补丁的专业解释是什么呀?我们为什么要定期打补丁呢?! U. {: f( y4 F- ^0 U
$ }; D2 U& {3 V
2 a3 D0 X; b, j大东:补丁就是操作系统的不定期错误漏洞修复程序。一般在开发过程中,一开始有很多因素是没有考虑到的,但是随着时间的推移,存在的漏洞问题会慢慢被发现。这时候,为了对系统本身存在的漏洞问题进行修复,系统开发者会发布相应的补丁。黑客如果利用这些漏洞,就可以得到计算机的控制权。, _6 M3 L+ g0 {
- Y1 K- m! R( X8 \5 R1 U' Z0 X! H
' E& X, N3 T& ~* W小白:东哥,还有类似的“原始”方法吗?
) Q0 ^# @% K: q3 e% k" | - G6 h. j5 h1 c$ j# [8 k8 |! K
8 l; Q3 x4 c5 R( d6 Q
0 o' u% v2 R6 n- x3 [
: q4 j; P( C# R" \大东:给系统管理员帐户设置足够复杂足够强壮的密码,最好能是10位以上,字母+数字+其它符号的组合;也可以禁用/删除一些不使用的帐户。如果记忆力够好,经常改变密码也是也是个不错的选择。
; G1 B. H& l, h" p8 L% _- d6 \% ^# N
$ S3 I. U$ G- d5 z& T/ W) }: z小白:对,比如说我就经常换密码。
0 w5 R0 g: r0 }6 k! q I/ \' \5 C$ @8 Y
8 I7 m/ l! R1 A. j' n" {1 C+ r2 b0 r9 {0 l& u& u
大东:哎,不过你也总是忘记密码。不过单纯地讲,换密码这个习惯还是不错的。$ w9 Y) m( ?" u; X) D& [0 |
; ?3 \0 N! V( q5 U$ b: y, l: Z' P2 I; [9 v
小白:东哥,你总揭我老底,就不能给我留点面子嘛?
6 n5 d1 E# H" L4 o1 x4 ~# |
. x, r! r" f5 O4 @
) n4 o4 Z' h) }4 {" p大东:(装作听不见的样子) 嗯,我们继续说防范的方法。经常更新杀毒软件(病毒库),安装并合理使用网络防火墙软件是十分必要的。网络防火墙在防病毒过程中起到至关重要的作用,能有效地阻挡自来网络的攻击和病毒的入侵。
( X, s& z$ d, g9 V' B2 a- G
) `1 C c) s- y8 ?3 d: A+ N4 o& V5 A# U, Y
小白:东哥,还有吗?
( Z* M0 x1 @& c8 E, x1 r
7 i* y& M: A' E ]; `* K" k9 \- N3 O8 O% n* x a
大东:关闭一些不需要的服务,条件允许的话可以关闭没有必要的共享,也包括C$、D$等管理共享。完全单机的用户可直接关闭Server服务。
' g3 f b5 M+ z, Z% z* H% l' M
8 c% \1 h6 o# E( R# o" s0 ~! C+ c. y% C2 i$ t) s
小白:懂了。东哥,通过你刚才的讲解,我回忆起来了许多东西。
( B0 h$ n7 B" O6 X L$ k0 D$ c' \- Y* ~4 k. r
. p& Y8 P: X+ E( I, s1 |
大东:温故而知新嘛!' O& m. B3 r5 M/ G
3 ^5 a0 t& |. V r
4 V+ F5 V" |" h( d: |来源:中国科学院计算技术研究所; ?5 u. F& L {7 K
) b' p" O2 | u0 r( G$ h( p" J) I; m. d* s7 ?5 B1 N A5 T* }# I
温馨提示:近期,微信公众号信息流改版。每个用户可以设置 常读订阅号,这些订阅号将以大卡片的形式展示。因此,如果不想错过“中科院之声”的文章,你一定要进行以下操作:进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」
7 K- _: P" N5 q/ B! p `# ^5 T/ a* x2 ?" |6 C& [$ e
# T. F9 ?4 ?3 b7 H1 H5 f% k6 x, q& M0 g$ n4 J
. l' L3 t. l% r2 G& s* n; V/ u
. P" C& u' r H6 Q1 a3 r& s/ F4 f/ |& I3 O4 s3 U1 u/ N
来源:http://mp.weixin.qq.com/s?src=11×tamp=1574510402&ver=1992&signature=Tvxe-dv0Pli2WOy8jx6-Hw7rnv9HYpasycZdOiA27ix8cPjxnROs0K1kkvdUU-4qOv15U3svsKSNcI-QAj5BtJGG0rX5r4iFdLPgzGOu9EXoWlxVCaXxE1chtktOJjK2&new=19 h) Z' O5 q, H1 x5 d4 r
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?立即注册
×
|
/6 
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )
发表于 2019-11-23 20:40:29
