被控制的“好人”丨专栏

bbs7te

一、灰鸽子病毒事件
2 d& n4 ^/ l9 e" P: W1 a

小白：东哥，我最近弄了个新鲜的东西，可以远程控制我家的家电，例如空调，电视，冰箱……
7 O  N# e) p2 g$ s& w+ v
6 _) K0 |, `" X# q' h" {2 ~
大东：嗯，这个不错！
 
' M% I" ]$ X/ K1 F; _" f+ E$ L

1 n% L6 Z+ W& c8 F6 q1 m

手机远程控制空调。图片来源于网络

+ A% n8 X8 X* A. {
% |9 S9 ?8 T0 a; }小白： 是啊，最便捷的是有手机、有WIFI就可以实现远程控制功能。
4 R! z/ r6 J" M8 N0 l- H
1 Y2 `# |% {  `  A2 Y% [- w
. w2 G7 x. }6 P9 a/ Z大东：等一下，便捷中往往隐藏着“邪恶”，你可要小心灰鸽子病毒啊！
% a  n& g" V+ w: {) y0 `) Z! ~9 ]
0 D3 P- Q0 y7 U9 O7 Z
2 S4 n3 K' C3 c: F  ^' ?! z小白：灰鸽子病毒？
. S! K. a: J! H" ?0 Y; p2 `4 S
1 K; V3 [+ [: {* _. F1 X0 q, m/ P
2 C  _* v$ A1 n% z大东：是的。灰鸽子本身是一款远程控制软件，但是因为恶意使用，又被认为是一个集多种控制方法于一体的木马病毒，一旦用户电脑不幸感染，可以说用户的一举一动都在黑客的监控之下，要窃取账号、密码、照片、重要文件都轻而易举。


小白：我的天啊，那我的隐私岂不是完全暴露在大家的面前了？！
& d& \" {; K* u
& U4 O$ S* D9 `) u6 P
; F  T4 n' G, I( Y% t. L# L大东：不仅如此，他们还可以连续捕获远程电脑屏幕，还能监控被控电脑上的摄像头，自动开机（不开显示器）并利用摄像头进行录像。


小白：简直是太可怕了！假如我没洗头、没洗脸、穿着邋遢衣服的样子被拍了下来，上传到网上的话……
 
2 `1 v- p0 e- L

4 l$ }5 m" A2 `' w大东：emmmmm……你这个颜值估计上传了也没人看。我们言归正传，继续说灰鸽子的事。随着“灰鸽子2007”的发布，当年仅3月1日至13日，金山毒霸截获的灰鸽子变种数就达到521个。盗号、偷窥、敲诈以及骇人听闻的公开“叫卖”，危害更甚于熊猫烧香。
. x; u& k4 C0 G, P* Q1 |
7 [0 c4 @; @$ N# k% O# d5 {
7 K* R6 M0 C/ D& d小白：这群人简直太可恶了！
+ p+ a, v  H6 y' ?
% P0 P3 O! [# e1 D) N! ~
! C6 i0 U6 f. m7 n( k大东：而且灰鸽子已不再是一个单纯的病毒，其背后是一条制造病毒、贩卖病毒、病毒培训为一体的黑色产业链，从某种意义上讲，灰鸽子的危害超出熊猫烧香10倍！ 
' ^, Z8 p( X' Z) k6 I; s 

灰鸽子产业链示意图。图片来源于网络

小白：东哥，那我们就拿灰鸽子一点办法都没有吗？

+ ?% ?! o' u# a9 p
) j# b( j% x6 s' ]大东：灰鸽子虽然强大，但它并不是完美无缺的。让我为你解析一下这个难缠的病毒。
 
二、灰鸽子病毒发展史
$ t7 j9 D- D3 s

  o: Q, N# K* f. w, m, R大东：先来说说灰鸽子病毒的发展史吧。


9 W  d  ?7 c( n. R3 V) ~# }小白：好呀，我最喜欢听历史了。
$ t2 l. f- Z. f* {
: `& }$ L& ]* N' I, X
大东：灰鸽子病毒发展分三个时期：诞生期、模仿期、飞速发展期。
2 U3 }& X2 `9 P$ Y! g5 e! Z: q

小白：先说说诞生期吧。

" L# F% g) ^% K8 s
  N0 S% {9 x' w1 |  {5 q大东：诞生期自2001年，灰鸽子诞生之日起，就被反病毒专业人士判定为最具危险性的后门程序，并引发安全领域的高度关注。2004年、2005年、2006年，灰鸽子木马连续三年被国内各大杀毒厂商评选为年度十大病毒，灰鸽子也因此声名大噪，逐步成为媒体以及网民关注的焦点。


3 Q/ s8 b( s2 q1 r/ a小白：最具危险性的后门程序，听上去很厉害嘛。

+ p- U3 B( r5 J
; l( Z; Y; y, i, ]6 P8 Y大东：模仿时期，灰鸽子最早出现的时候是在模仿“冰河”。它采用Delphi编写，采用了源码共享的方式出现在互联网。虽然“灰鸽子”在当时的名气不及“冰河”，但由于开放源码的方式让“灰鸽子”逐渐增大了传播量。

; Y6 M. n4 E$ z* k+ Z; Z* f& }! D6 t% c
9 i6 m! n- V. m, R- r9 E4 i小白：这么说来冰河是灰鸽子的“前辈”啦！那冰河也是远程控制软件吗？

! r, }$ ]/ T0 U9 B
大东：是的。冰河的可怕之处在于自动跟踪目标机屏幕变化，同时可以完全模拟键盘及鼠标输入、记录各种口令信息。还包括获取系统信息，例如计算机名、注册公司、当前用户等多项系统数据。远程关机、远程重启计算机、锁定鼠标及锁定注册表等多项功能限制也是他的拿手强项。


1 G$ m; }2 |! U- l; p8 S小白：说远了，该说灰鸽子病毒飞速发展时期了。
& [, c0 i, L! F  V' F7 j( i
7 H6 T& a" D, G! g1 G4 P
! }5 O: K% ?: z; ~+ S0 A大东：2004和2005这两年之间，灰鸽子逐步进入了成熟的状态，由于源码的释放，大量变种在互联网中衍生。2004年灰鸽子总共发现了1000多变种，而在2005年，这个数字迅速上升到了3000多。
9 k' B  e5 M( c+ L# T! }

3 {- }* P% Q. F, z& x* y小白：变种也太快了吧？！
- H2 D/ g9 F- |; Y

& H7 z& n/ H; g) \8 i  C, c大东：“灰鸽子”最大的危害在于潜伏在用户系统中，由于其使用的“反弹端口”原理，一些在局域网（企业网）中的用户也受到了“灰鸽子”的侵害，使得受害用户数大大提高。2004年的感染统计为103483人，而到2005年数字攀升到890321人。“灰鸽子”本身所具备的键盘记录、屏幕捕捉、文件上传下载和运行、摄像头控制等功能，将使用户没任何隐私可言，更可怕的是服务端高度隐藏自己，使受害者无从得知感染此病毒。
: Y3 p3 f7 m" C2 |8 S8 J  Y

7 B3 k/ G- R0 ]4 r" Z5 M7 s: K; E# k$ ?小白：令人害怕！
 
三、灰鸽子病毒清除办法

" f# l2 {$ b# z( v- S: P7 h
" f$ i. f  G2 A; U大东： 但是利用一些检测方法就可以将灰鸽子揪出来。通过研究发现，无论自定义的服务器端文件名是什么，一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点，我们可以较为准确手工检测出灰鸽子服务端。


小白：那是把“_hook.dll”结尾的文件删掉就可以吗？
' z# p' V, C- j4 ^# p
4 S! H: ]2 D- z5 _, m1 r
# f8 o- Y, O$ h$ G2 J- f大东：当然不是那么简单。由于正常模式下灰鸽子会隐藏自身，因此检测灰鸽子的操作一定要在安全模式下进行，而且要把Windows设置成显示所有文件。并打开Windows的“搜索文件”，文件名称输入“_hook.dll”，搜索位置选择Windows的安装目录（默认98/xp为C:\windows，2k/NT为C:\Winnt）。经过搜索，在Windows目录（不包含子目录）下发现了一个名为Game_Hook.dll的文件。
6 ^( T% [6 P3 H$ p% J

小白：这就是灰鸽子文件了吧！
; Z& R# |+ c9 j+ h6 R

大东：还不能确定。如果Game_Hook.DLL是灰鸽子的文件，则在操作系统安装目录下还会有Game.exe和Game.dll文件。这才是真正的灰鸽子的服务端，不能“冤枉”好人啊！
 
& C( M5 l8 P; f/ b5 u. i

8 f$ B" Z! A5 H

Game.exe和Game.dll。图片来源于网络

& ~8 S$ t2 T5 Z, ]# |+ n

小白：原来是在这样。把这几个文件删除就可以和灰鸽子病毒say goodbye了吧！
5 k3 j9 {  g8 \( U$ j0 |

4 x1 A3 b' s9 B/ z1 w& b大东：总共有两步，这只是其中的一步。首先清除灰鸽子的服务，注意一定要在注册表里完成。清除灰鸽子的服务一定要先备份注册表，或者到纯DOS下将注册表文件更名，然后再去注册表删除灰鸽子的服务。因为病毒会和EXE文件进行关联。


小白：东哥，具体应该怎么做啊？教教我呗。
5 e9 n: P- U7 [4 {* E  i
. h6 x6 I* m8 u0 k
大东：第一步打开注册表编辑器（点击“开始”－ “运行”，输入“Regedit.exe”，确定。），打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。第二步点击菜单“编辑” “查找”—“查找目标”输入“game.exe”，点击确定，我们就可以找到灰鸽子的服务项（此例为Game_Server，每个人这个服务项名称是不同的）。第三步删除整个Game_Server项。
0 A) Y5 l  i9 R$ ]+ ?  } 

查找game.exe。图片来源于网络

+ |, `, Y8 x' i# G$ q
6 p* E6 r! W' d3 w* d小白：这其中的第二步是不是就是我刚才说的删除Game.exe和Game.dll。


8 `' J1 ^* ?2 i大东：bingo！你只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件，然后重新启动计算机，就彻底告别灰鸽子病毒了。
 
四、防范措施

/ |$ H2 C, t, L0 t小白：东哥，那该如何防范灰鸽子这类病毒呢？
/ k6 Q# P  O0 y$ Q: n1 j# T, h1 ]
1 r; t# x' ]2 R
大东：有些办法虽然有些原始，但总是最好用的。比如说给系统安装补丁程序。通过Windows Update安装好系统补丁程序(关键更新、安全更新和Service pack)。
, l8 q; C& E4 [4 P; J; o9 z* ?1 y, A
% D8 z! P/ m* S
1 G, t4 m  {% u% j0 F& Y- l小白：东哥，我们老说打补丁，补丁的专业解释是什么呀？我们为什么要定期打补丁呢？


$ ~) J$ P" }; q0 E+ A大东：补丁就是操作系统的不定期错误漏洞修复程序。一般在开发过程中，一开始有很多因素是没有考虑到的，但是随着时间的推移，存在的漏洞问题会慢慢被发现。这时候，为了对系统本身存在的漏洞问题进行修复，系统开发者会发布相应的补丁。黑客如果利用这些漏洞，就可以得到计算机的控制权。
$ Y% G+ }* e8 `- R% ]1 A

& Q* h9 ~' Z  _3 M小白：东哥，还有类似的“原始”方法吗？
                  
; M, j9 @/ g! D' t- U+ b

4 F7 M# k  k" R/ A. m) X

* b3 H* V/ U8 y2 o+ e" G1 u' E

! ]( C* T, C: ^; ]/ j大东：给系统管理员帐户设置足够复杂足够强壮的密码，最好能是10位以上，字母+数字+其它符号的组合；也可以禁用/删除一些不使用的帐户。如果记忆力够好，经常改变密码也是也是个不错的选择。

* n# q) h; x! C$ L) ~2 u
2 _3 P+ s/ s) _% B* M小白：对，比如说我就经常换密码。

9 N* q/ s  ^- z& j
) l3 `' e- H, }, J3 y: S大东：哎，不过你也总是忘记密码。不过单纯地讲，换密码这个习惯还是不错的。


小白：东哥，你总揭我老底，就不能给我留点面子嘛？
. P' K  z8 s! p2 Y, v* h

大东：（装作听不见的样子） 嗯，我们继续说防范的方法。经常更新杀毒软件（病毒库），安装并合理使用网络防火墙软件是十分必要的。网络防火墙在防病毒过程中起到至关重要的作用，能有效地阻挡自来网络的攻击和病毒的入侵。
" b* j( d* @" p' F0 ^; W
- D: l4 O5 P% |& \* r" a0 t
小白：东哥，还有吗？
; N) X8 s3 X  U+ o
  R( m; H- s1 t3 A
5 C9 T* T( s% ^% P) n大东：关闭一些不需要的服务，条件允许的话可以关闭没有必要的共享，也包括C$、D$等管理共享。完全单机的用户可直接关闭Server服务。
6 \  S( ^# c$ |. M- t

; n8 @& l  I, X3 a小白：懂了。东哥，通过你刚才的讲解，我回忆起来了许多东西。
5 Z( \( V% l9 Z4 c9 A- D/ C8 T
0 t  Q% H9 Q$ V9 o: g8 x
大东：温故而知新嘛！
4 d  m  n& G" o7 z1 a( C% t) v! K
% i, k2 l1 L8 G; f6 y) N
3 u  ^. F) @- _( x$ y来源：中国科学院计算技术研究所


8 i) O# O% u5 }/ E6 _; ?2 Y温馨提示：近期，微信公众号信息流改版。每个用户可以设置 常读订阅号，这些订阅号将以大卡片的形式展示。因此，如果不想错过“中科院之声”的文章，你一定要进行以下操作：进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」
% B* O5 o: @* v( Q3 C+ u. Q- t5 }
4 J0 K& B# ~4 I& K+ ]

" M# C" H4 ]) h+ a; m( ?6 i+ ?4 c! i

5 G( ~! y2 w! _; r, @
! u) b& Y3 o: z/ |; X& }
来源：http://mp.weixin.qq.com/s?src=11&timestamp=1574510402&ver=1992&signature=Tvxe-dv0Pli2WOy8jx6-Hw7rnv9HYpasycZdOiA27ix8cPjxnROs0K1kkvdUU-4qOv15U3svsKSNcI-QAj5BtJGG0rX5r4iFdLPgzGOu9EXoWlxVCaXxE1chtktOJjK2&new=1
免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！