|
|
一、灰鸽子病毒事件9 { v( T, {+ N# ]; A0 A
1 g$ Q. z. d, {% V) J* c
; u# h m0 M$ [. f/ u9 f% H" _
小白:东哥,我最近弄了个新鲜的东西,可以远程控制我家的家电,例如空调,电视,冰箱……
3 ?8 ]5 y/ l5 }# H0 i& g N
9 s9 X) [) ^/ e7 N* T) v6 N8 D5 K5 d# K6 o( `/ F6 w
大东:嗯,这个不错!) y( t: E9 D" Z. B. g
6 I+ F% G/ b) Z* d4 ?0 P" T( \& o+ |+ I# ^( D
手机远程控制空调。图片来源于网络 3 I* s+ y0 M3 ]5 I
6 x6 f9 l e- s% O' `; r
' N% p3 @" T( ]) [小白: 是啊,最便捷的是有手机、有WIFI就可以实现远程控制功能。( q$ G3 v) |2 D5 ]8 q
6 T& F e; O6 ?: a g g
, k6 P1 d l% t1 J1 h大东:等一下,便捷中往往隐藏着“邪恶”,你可要小心灰鸽子病毒啊!
, \9 K2 Y; F( Z% Z2 X
6 y, j% d8 K& q* J
- z5 U8 c* A8 X; s2 C( Y5 Z小白:灰鸽子病毒?
' U+ ~9 |9 b. y
5 _- t$ O8 G+ `' ~! Q' E9 w% h8 |3 ]2 q5 n3 @2 i1 P
大东:是的。灰鸽子本身是一款远程控制软件,但是因为恶意使用,又被认为是一个集多种控制方法于一体的木马病毒,一旦用户电脑不幸感染,可以说用户的一举一动都在黑客的监控之下,要窃取账号、密码、照片、重要文件都轻而易举。
7 l, y+ ?! d( i. b3 F s" d3 ~9 Z6 Z# L/ w6 A5 H: X& x
% E; |( l5 k* u+ c: q; J小白:我的天啊,那我的隐私岂不是完全暴露在大家的面前了?!# ]* L$ e( ] ^9 d2 a# {
# x+ C: r$ \- A, J
; N% A; T7 u `& Y大东:不仅如此,他们还可以连续捕获远程电脑屏幕,还能监控被控电脑上的摄像头,自动开机(不开显示器)并利用摄像头进行录像。4 h. V! u# n2 u. K
- u; h8 L9 C* X. D) h
; U Q; p5 ^8 k小白:简直是太可怕了!假如我没洗头、没洗脸、穿着邋遢衣服的样子被拍了下来,上传到网上的话……; R: J# c/ T" R1 o
( T6 @! N! v; x
7 ~7 M5 i. D( h$ x
% q( }& y& \7 O9 h* {0 T
# f8 v( T6 ]* [大东:emmmmm……你这个颜值估计上传了也没人看。我们言归正传,继续说灰鸽子的事。随着“灰鸽子2007”的发布,当年仅3月1日至13日,金山毒霸截获的灰鸽子变种数就达到521个。盗号、偷窥、敲诈以及骇人听闻的公开“叫卖”,危害更甚于熊猫烧香。. I' ?; _# m7 a/ Y1 [& t5 m1 Z$ c
3 M7 _, F {) U; \ ^0 L1 v
, o, N9 M7 ]: v小白:这群人简直太可恶了! j# K/ ?) {, A/ z/ q2 C# b( @
! W: `9 ?1 l, G/ D5 W r! H+ v1 u& f* S g' T2 y( @( M: t) `
大东:而且灰鸽子已不再是一个单纯的病毒,其背后是一条制造病毒、贩卖病毒、病毒培训为一体的黑色产业链,从某种意义上讲,灰鸽子的危害超出熊猫烧香10倍!
% P. y) r4 e4 o/ z9 C
3 R( H5 s; h' g5 q5 i0 A
3 P8 f: G) ~9 s灰鸽子产业链示意图。图片来源于网络 ( |: Q7 [( y6 [! X& V" f
4 z4 f! y' V7 m* e小白:东哥,那我们就拿灰鸽子一点办法都没有吗?- q( r4 ]. ]+ I5 h1 g
$ n! T+ a: |5 T# Z' o8 Y
# H. Z# _. @$ f' n: \, D大东:灰鸽子虽然强大,但它并不是完美无缺的。让我为你解析一下这个难缠的病毒。8 ^; @3 S; l6 h0 s) @
9 o6 V6 `' b( D1 M4 {二、灰鸽子病毒发展史5 b y. R) s9 L0 t" K0 L
7 D# _1 C" n9 v$ \$ B
) d( ^. J! e6 @& k5 C大东:先来说说灰鸽子病毒的发展史吧。, k2 k& \. t4 q7 j: z3 W
' z. t9 [8 H Y' `' n7 S
* ?2 B& ]6 k6 H小白:好呀,我最喜欢听历史了。
: x1 I' m X$ j4 I9 _/ B: E6 `6 b% N( \! Y3 W0 I/ [
1 q7 ^& N1 J1 T- g' X9 \' H8 F5 N大东:灰鸽子病毒发展分三个时期:诞生期、模仿期、飞速发展期。" E+ k0 l8 t) x0 Y5 K
2 @" G8 B& E+ N1 q8 ?9 l, B1 W8 r# U! k; c& Q8 X
小白:先说说诞生期吧。/ l; V5 n! A1 ]6 }1 v
" u' L0 F% D: h# R8 j# t5 ^
% L: z3 @2 X$ R5 p大东:诞生期自2001年,灰鸽子诞生之日起,就被反病毒专业人士判定为最具危险性的后门程序,并引发安全领域的高度关注。2004年、2005年、2006年,灰鸽子木马连续三年被国内各大杀毒厂商评选为年度十大病毒,灰鸽子也因此声名大噪,逐步成为媒体以及网民关注的焦点。
! L, ^( o; ?5 f/ s5 D5 U+ k+ H, S0 X( W8 M, y/ Q! L
1 i6 y' [6 t( Q
小白:最具危险性的后门程序,听上去很厉害嘛。" k! g$ J+ V4 `7 l
2 g1 `- J, |2 i% n# b
# F+ g; M! o5 J7 v$ w
大东:模仿时期,灰鸽子最早出现的时候是在模仿“冰河”。它采用Delphi编写,采用了源码共享的方式出现在互联网。虽然“灰鸽子”在当时的名气不及“冰河”,但由于开放源码的方式让“灰鸽子”逐渐增大了传播量。/ ]; b) Q a" ^! ^# u
, [% e4 t5 P# S; N0 J
! q, {% V( i" t( |+ g8 e- m小白:这么说来冰河是灰鸽子的“前辈”啦!那冰河也是远程控制软件吗?
. F$ W {9 \, W9 Y
+ A: |8 V2 L+ I. M. \7 W& s( Y, i! s6 w; P2 v% u6 c, t2 h
大东:是的。冰河的可怕之处在于自动跟踪目标机屏幕变化,同时可以完全模拟键盘及鼠标输入、记录各种口令信息。还包括获取系统信息,例如计算机名、注册公司、当前用户等多项系统数据。远程关机、远程重启计算机、锁定鼠标及锁定注册表等多项功能限制也是他的拿手强项。
$ e- L% D$ N4 u) k. U% l9 Z* ~% g6 D% X4 g) N" m0 q) P/ q9 m" B
% H. W+ h, J7 |- }0 Z
小白:说远了,该说灰鸽子病毒飞速发展时期了。% U3 D2 X# D. g9 Q( B$ ?8 W$ _+ _
0 G( G$ n& G4 ~& ~8 E5 X( s! n- \! J" u( w' O8 @( E
大东:2004和2005这两年之间,灰鸽子逐步进入了成熟的状态,由于源码的释放,大量变种在互联网中衍生。2004年灰鸽子总共发现了1000多变种,而在2005年,这个数字迅速上升到了3000多。
, u t: p, w! n6 F+ }
1 L( e$ F* |% o$ V2 c5 F6 e( A3 w3 V5 D+ R
小白:变种也太快了吧?!% R2 }/ f1 M; W" n: p) E/ e
3 z( I7 H7 J) w1 Y. V
5 M% u4 X ^1 t! Z6 H. d$ a
大东:“灰鸽子”最大的危害在于潜伏在用户系统中,由于其使用的“反弹端口”原理,一些在局域网(企业网)中的用户也受到了“灰鸽子”的侵害,使得受害用户数大大提高。2004年的感染统计为103483人,而到2005年数字攀升到890321人。“灰鸽子”本身所具备的键盘记录、屏幕捕捉、文件上传下载和运行、摄像头控制等功能,将使用户没任何隐私可言,更可怕的是服务端高度隐藏自己,使受害者无从得知感染此病毒。
4 E0 y' d8 s9 \ |' Q3 T7 ~- w" B5 R; x( T- c3 U: K+ H0 Y
! p q/ N4 z9 ?小白:令人害怕!% H% X" r, a0 n
% i5 E2 O) Q. o. A三、灰鸽子病毒清除办法
$ k* L7 J- l- h$ p4 y8 ^) b) ]
2 Z" ^) C, s9 S% u" r d, D大东: 但是利用一些检测方法就可以将灰鸽子揪出来。通过研究发现,无论自定义的服务器端文件名是什么,一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点,我们可以较为准确手工检测出灰鸽子服务端。* n# F+ c" } a0 ]7 e/ y/ Q7 e
% O" A1 @: Q+ ]0 Y0 F) u4 R" X' Y9 A S3 c% A
小白:那是把“_hook.dll”结尾的文件删掉就可以吗?
* ~& ~6 |( x% ^% j/ G1 [; }
( G2 }1 n9 w. |( ^5 y1 a/ U+ `5 P* r! e5 t; Y$ P! F; i
大东:当然不是那么简单。由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模式下进行,而且要把Windows设置成显示所有文件。并打开Windows的“搜索文件”,文件名称输入“_hook.dll”,搜索位置选择Windows的安装目录(默认98/xp为C:\windows,2k/NT为C:\Winnt)。经过搜索,在Windows目录(不包含子目录)下发现了一个名为Game_Hook.dll的文件。7 l! K$ [1 G3 L+ [
% H3 ]! h. h% I8 R/ U
% J: g* m y' G1 I, J8 ]小白:这就是灰鸽子文件了吧!; U) C7 U/ [6 {" c) s" A$ ?
9 S( R( A' v# T8 @7 ^. B
3 J9 P( E0 P( N$ N1 e大东:还不能确定。如果Game_Hook.DLL是灰鸽子的文件,则在操作系统安装目录下还会有Game.exe和Game.dll文件。这才是真正的灰鸽子的服务端,不能“冤枉”好人啊!& f/ J. C+ {8 p" N- R0 v
6 ]. h7 ^0 R, m. O T. Q
: l3 M( G$ u' k i
Game.exe和Game.dll。图片来源于网络 % s: }& E" e4 {/ R( m8 U" ~8 e
0 N0 Q# k# S/ C. F- T: P
6 D6 R9 j# {7 l4 W% @小白:原来是在这样。把这几个文件删除就可以和灰鸽子病毒say goodbye了吧!6 I2 d8 U" G! J/ C
8 b2 g. G& c( |" K0 a: A
+ x( E/ s/ K1 W- J+ |1 D
大东:总共有两步,这只是其中的一步。首先清除灰鸽子的服务,注意一定要在注册表里完成。清除灰鸽子的服务一定要先备份注册表,或者到纯DOS下将注册表文件更名,然后再去注册表删除灰鸽子的服务。因为病毒会和EXE文件进行关联。
5 Y3 k1 o" ?4 C) p: c U1 y' y2 E) ?$ [3 x$ h7 G
2 G; D/ T% W$ o2 @/ F
小白:东哥,具体应该怎么做啊?教教我呗。0 {# W7 `+ x7 k1 \ H6 G: I9 D
, T9 i1 b9 J( h, [$ |& D. u
' u) R8 S; i& ]- F8 A大东:第一步打开注册表编辑器(点击“开始”- “运行”,输入“Regedit.exe”,确定。),打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。第二步点击菜单“编辑” “查找”—“查找目标”输入“game.exe”,点击确定,我们就可以找到灰鸽子的服务项(此例为Game_Server,每个人这个服务项名称是不同的)。第三步删除整个Game_Server项。- t5 @+ T2 i4 {1 r# f8 ^4 A' F
4 y. Q* U: u O1 L3 ~. [$ [! f( O* M2 f
查找game.exe。图片来源于网络 + ?) f- x3 N S* N0 m
+ l% `9 q0 {* o: [0 @, P
小白:这其中的第二步是不是就是我刚才说的删除Game.exe和Game.dll。! y# ^! h' r# A, }7 k) Q
/ K) I0 b+ u7 l/ ?
" m" K+ h$ y1 W3 V) c+ X大东:bingo!你只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件,然后重新启动计算机,就彻底告别灰鸽子病毒了。* ~: M5 m& f' t! m7 H
& E7 _0 X$ N. b$ o4 q. T四、防范措施* S2 E: R/ R4 |: C: s7 G4 e( n
1 o, z4 s! N6 C" h# ^
小白:东哥,那该如何防范灰鸽子这类病毒呢?/ Q$ `4 o0 M, b: u0 S4 I
& Q2 _% ~, w: w" o& [4 S
1 x" h" z- k4 g大东:有些办法虽然有些原始,但总是最好用的。比如说给系统安装补丁程序。通过Windows Update安装好系统补丁程序(关键更新、安全更新和Service pack)。1 h7 N2 a" m5 v. t
( M, v) x7 Y6 C" C* T" u: c6 {) u6 r* s7 C5 ?
小白:东哥,我们老说打补丁,补丁的专业解释是什么呀?我们为什么要定期打补丁呢?+ J. K Q3 x( m( ?- Z
, m( N8 w6 a: i: m/ W% g! @; B( _5 w" n0 J
大东:补丁就是操作系统的不定期错误漏洞修复程序。一般在开发过程中,一开始有很多因素是没有考虑到的,但是随着时间的推移,存在的漏洞问题会慢慢被发现。这时候,为了对系统本身存在的漏洞问题进行修复,系统开发者会发布相应的补丁。黑客如果利用这些漏洞,就可以得到计算机的控制权。. p/ u' ]3 _9 A8 d
- T; [ p% p3 L3 G9 B9 Q+ P6 }
9 t2 W; }( S. v6 O& O: a. J小白:东哥,还有类似的“原始”方法吗?
, q* C6 |! U* Y/ @- c8 h) C 5 ~' E& v* \2 O7 W2 H: D# u
/ H: l7 R1 z7 Q; Q
4 {* j3 Q6 o- j; u
/ |8 P8 I. G5 C" Q
大东:给系统管理员帐户设置足够复杂足够强壮的密码,最好能是10位以上,字母+数字+其它符号的组合;也可以禁用/删除一些不使用的帐户。如果记忆力够好,经常改变密码也是也是个不错的选择。0 j: O( O9 M* e2 ^
+ T- }) k8 h+ C/ \, d/ J4 v: T- [+ N" @, a* ]. n
小白:对,比如说我就经常换密码。' T$ R! Z% Z, @3 m4 c
: b1 m/ N/ e2 N- S+ B9 K3 T2 [# f) a& y
' J: j. M0 w; {$ ^0 z大东:哎,不过你也总是忘记密码。不过单纯地讲,换密码这个习惯还是不错的。
4 [, b. W% m6 t+ T3 k% @. S5 |6 D3 D7 F/ H3 V
7 C/ d3 |8 }/ a& a小白:东哥,你总揭我老底,就不能给我留点面子嘛?6 ?8 R; g) ]7 O5 y5 p; }1 L
3 m3 |7 q* J8 w. @
9 ?+ `) o: T, Z. r; h大东:(装作听不见的样子) 嗯,我们继续说防范的方法。经常更新杀毒软件(病毒库),安装并合理使用网络防火墙软件是十分必要的。网络防火墙在防病毒过程中起到至关重要的作用,能有效地阻挡自来网络的攻击和病毒的入侵。- @, m4 {. a/ j0 R9 |* k
. n) W0 j, Q( ^3 _
3 W- Q. l$ f4 r5 Y2 I3 j2 l小白:东哥,还有吗?' c9 h$ [0 z# ~ C( R4 S1 D
3 W s; S0 M7 j M9 Y6 a G
, u# h. K3 d; R6 l大东:关闭一些不需要的服务,条件允许的话可以关闭没有必要的共享,也包括C$、D$等管理共享。完全单机的用户可直接关闭Server服务。6 u: }4 T3 h# y" W- L
. _0 \7 |- x" q" e9 g* f/ _' H; }7 ?. S
小白:懂了。东哥,通过你刚才的讲解,我回忆起来了许多东西。
c7 G# O( M: `3 l. d
8 I$ K( k x5 ~" B1 k3 I1 n
9 I- M2 w; M3 U3 ?" V$ B& l大东:温故而知新嘛!
) n; q+ @. {' O( @. y2 D' W% I' \# P2 g3 U6 ]. w) @
7 j* p! F, `4 Q+ M$ B$ ]
来源:中国科学院计算技术研究所* m. V9 D6 E" a+ @5 v( ^1 V
; e ]6 M3 p+ f6 x" F* c
0 @; K N4 q+ J0 c7 T4 ~# X
温馨提示:近期,微信公众号信息流改版。每个用户可以设置 常读订阅号,这些订阅号将以大卡片的形式展示。因此,如果不想错过“中科院之声”的文章,你一定要进行以下操作:进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」 f5 {0 Q* k: P J# l3 t" K) N7 p
7 ^2 H0 Y; N6 K6 Y8 c5 Q
9 x% p9 Y" r0 f9 m
) c0 o3 a9 u; S' @, a# d U2 Z! _ O( T3 o" P8 I7 p* N3 Q
 , O7 y% z8 E; B( U' g1 S
5 F! E3 `* V# @2 V; ~* ^8 _来源:http://mp.weixin.qq.com/s?src=11×tamp=1574510402&ver=1992&signature=Tvxe-dv0Pli2WOy8jx6-Hw7rnv9HYpasycZdOiA27ix8cPjxnROs0K1kkvdUU-4qOv15U3svsKSNcI-QAj5BtJGG0rX5r4iFdLPgzGOu9EXoWlxVCaXxE1chtktOJjK2&new=12 Y2 }/ z* Y8 j" h
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?立即注册
×
|
/6 
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )
发表于 2019-11-23 20:40:29
