一、灰鸽子病毒事件" x; Y! F* c# g4 d5 Q% h. [$ ?; G
4 G* c; \: @. {3 v
, @* p/ W8 g- S1 ~- B小白:东哥,我最近弄了个新鲜的东西,可以远程控制我家的家电,例如空调,电视,冰箱……: @' y. H* i1 l
5 s q% M f/ w: T6 Z! x/ d7 W- G
3 l7 R- R- A* a, }# A- a大东:嗯,这个不错!
- ]* N6 f) I5 I4 E" I& w8 w* H' X
5 H5 N6 A! Q2 c. _9 b# s4 n% Q* U. g: S7 b
手机远程控制空调。图片来源于网络
) x4 B( \- z* m. o( N8 n$ O. n/ E& [
+ @5 _; c1 V9 c7 _3 U小白: 是啊,最便捷的是有手机、有WIFI就可以实现远程控制功能。
% s6 b5 a% X7 S6 ^0 C( w+ x0 W- x
7 |' W5 n$ m' S& i/ ]; ^+ f
8 y* Y( E5 E. y" z大东:等一下,便捷中往往隐藏着“邪恶”,你可要小心灰鸽子病毒啊!
7 f7 I/ P% |% T4 Y1 e' L/ [
& o S# U+ ?: I1 L9 S. U& y, n2 m
- X9 W7 p8 S. m5 U) P: _( s- p! q小白:灰鸽子病毒?
" e- ~) p4 X( q, w4 I
8 N! ?; X: C2 f! k
9 ^: @( y7 ~, s: u* i大东:是的。灰鸽子本身是一款远程控制软件,但是因为恶意使用,又被认为是一个集多种控制方法于一体的木马病毒,一旦用户电脑不幸感染,可以说用户的一举一动都在黑客的监控之下,要窃取账号、密码、照片、重要文件都轻而易举。
& D" ^* F) L, W8 W5 z9 L/ S6 w+ K; b
, t; @8 a+ y" N C小白:我的天啊,那我的隐私岂不是完全暴露在大家的面前了?!
; e0 q8 \8 O/ b( l! c& _ n9 i g }$ F
* Y6 S% d% d! ?6 M/ d. g' {大东:不仅如此,他们还可以连续捕获远程电脑屏幕,还能监控被控电脑上的摄像头,自动开机(不开显示器)并利用摄像头进行录像。+ Y& ?1 n& E2 U7 e; G: u8 j
6 Z! `/ e2 Y& o% l- X% s$ C: o+ ^( o( ~! ^: s% @
小白:简直是太可怕了!假如我没洗头、没洗脸、穿着邋遢衣服的样子被拍了下来,上传到网上的话……; a" n1 F+ J8 D: t* |
; }: l' A/ \3 k ?7 [' N- d5 u2 I& x$ F7 U! Y2 Z3 B7 |
' P! p! B, D* ~$ y
7 K# ~, h+ D# \' }1 G大东:emmmmm……你这个颜值估计上传了也没人看。我们言归正传,继续说灰鸽子的事。随着“灰鸽子2007”的发布,当年仅3月1日至13日,金山毒霸截获的灰鸽子变种数就达到521个。盗号、偷窥、敲诈以及骇人听闻的公开“叫卖”,危害更甚于熊猫烧香。" W1 ~$ s# Q# d! P
/ b3 ^8 D. T: u) j3 }- }5 ~5 E$ a2 [
小白:这群人简直太可恶了!
. \0 D7 f0 I: B: ], {
7 C- y4 V+ M) z# P
* m) O6 g% l4 i7 U$ Z+ j* l大东:而且灰鸽子已不再是一个单纯的病毒,其背后是一条制造病毒、贩卖病毒、病毒培训为一体的黑色产业链,从某种意义上讲,灰鸽子的危害超出熊猫烧香10倍!
4 y7 N# K/ `5 `! } % ?) P8 K6 P; }% _" ~* { z, `
8 O( A% }6 N% [
灰鸽子产业链示意图。图片来源于网络
) p( O1 g0 W0 U; q6 \6 e/ t& {1 {
7 ]0 x$ U5 ^: q( g4 L6 Q: ^! \小白:东哥,那我们就拿灰鸽子一点办法都没有吗?5 L' a! G( R* |8 m ^
* g7 G& x% B+ |- c: P" w
7 a9 L P9 S: x- U. I$ r. @大东:灰鸽子虽然强大,但它并不是完美无缺的。让我为你解析一下这个难缠的病毒。1 t$ \3 I7 G! W
7 A T/ H" O. h) J" Y+ Z6 L) Z二、灰鸽子病毒发展史6 C5 K V% Q! `3 ]( X8 [1 l3 u
( }. d, w' N/ L: Z. }3 s
; g/ z! A; G$ L7 S, w7 c( ~/ v大东:先来说说灰鸽子病毒的发展史吧。0 g% A2 Y2 ^+ z* S9 O
8 `% L5 x1 V1 N9 N* [
# X5 e9 a4 R$ W! [小白:好呀,我最喜欢听历史了。
9 l$ d2 f5 \5 Q" {: h! Z3 k$ k' D$ {1 z
* l1 \! q5 i' w+ V
大东:灰鸽子病毒发展分三个时期:诞生期、模仿期、飞速发展期。2 y U' y" P& a, o: q# l$ u
8 h5 m# M% S& g2 Z, v- Y
* C6 C8 E: W) s: }
小白:先说说诞生期吧。- r' `. R" L0 ?5 P: s1 r& ?% `
8 z) `4 g* x8 }0 G2 l
' W7 J/ P/ P, f8 s大东:诞生期自2001年,灰鸽子诞生之日起,就被反病毒专业人士判定为最具危险性的后门程序,并引发安全领域的高度关注。2004年、2005年、2006年,灰鸽子木马连续三年被国内各大杀毒厂商评选为年度十大病毒,灰鸽子也因此声名大噪,逐步成为媒体以及网民关注的焦点。
1 W, ?- _) p$ w. h- j& D' [% d) ?" u% J: |! Q8 l, m1 r6 S7 f
" p8 e9 R0 q G% b) T N) ~+ i小白:最具危险性的后门程序,听上去很厉害嘛。7 o0 f( y/ G% u8 j6 R
! Q5 s* |8 H+ _% Z: c+ _. \
9 }$ y& f& w9 H1 n |: N大东:模仿时期,灰鸽子最早出现的时候是在模仿“冰河”。它采用Delphi编写,采用了源码共享的方式出现在互联网。虽然“灰鸽子”在当时的名气不及“冰河”,但由于开放源码的方式让“灰鸽子”逐渐增大了传播量。; P$ V5 Y5 G: ~, b4 ^
, l( E' P% o- O6 P, h1 d) G7 |9 \$ D
小白:这么说来冰河是灰鸽子的“前辈”啦!那冰河也是远程控制软件吗?9 w( w% w9 }, E. p# P
9 y3 E$ E, i* P, k+ x# N
5 u: K$ T7 H& {, M4 A3 H0 d* s" E
大东:是的。冰河的可怕之处在于自动跟踪目标机屏幕变化,同时可以完全模拟键盘及鼠标输入、记录各种口令信息。还包括获取系统信息,例如计算机名、注册公司、当前用户等多项系统数据。远程关机、远程重启计算机、锁定鼠标及锁定注册表等多项功能限制也是他的拿手强项。) x/ \, m* h( i, P6 h. j$ _
' f6 r" U" M, f( r6 ?; A. G1 F$ [& b% Y9 r6 a- o$ d- c; J
小白:说远了,该说灰鸽子病毒飞速发展时期了。
2 M' ^, M1 r! a, E9 F7 n
4 Y1 H, U# i1 m5 k2 M Z( V# ]1 U4 \6 @4 r* B
大东:2004和2005这两年之间,灰鸽子逐步进入了成熟的状态,由于源码的释放,大量变种在互联网中衍生。2004年灰鸽子总共发现了1000多变种,而在2005年,这个数字迅速上升到了3000多。
8 M1 I J( p4 M/ w
0 d5 [9 j1 g1 i! U
% {5 e9 [0 H9 @9 P# G3 E小白:变种也太快了吧?!5 T N2 Z9 r0 I# X' q& t3 u
2 C; {# K. q5 k7 \3 F% z2 b
. ?$ c' X. `2 s大东:“灰鸽子”最大的危害在于潜伏在用户系统中,由于其使用的“反弹端口”原理,一些在局域网(企业网)中的用户也受到了“灰鸽子”的侵害,使得受害用户数大大提高。2004年的感染统计为103483人,而到2005年数字攀升到890321人。“灰鸽子”本身所具备的键盘记录、屏幕捕捉、文件上传下载和运行、摄像头控制等功能,将使用户没任何隐私可言,更可怕的是服务端高度隐藏自己,使受害者无从得知感染此病毒。* }! D- R' T$ H% N2 F" a
8 Z a. s- @+ _, J% _. b2 D+ m
; m# b/ U ]$ x5 C$ W1 O2 N小白:令人害怕!, `4 V% p0 l% Z4 ?0 f2 j
/ Q. z& h0 w# H' z1 W' d/ E- {9 p
三、灰鸽子病毒清除办法
6 Q, i# S6 ~% Q7 _0 o2 o9 f2 w# M# L' Z
" r. N7 T' S! T0 `# S- l
大东: 但是利用一些检测方法就可以将灰鸽子揪出来。通过研究发现,无论自定义的服务器端文件名是什么,一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点,我们可以较为准确手工检测出灰鸽子服务端。
+ q0 L* q% u9 u; H
2 N+ e7 N: @1 R. j! } ]
1 U2 E4 {. E( f2 j1 t小白:那是把“_hook.dll”结尾的文件删掉就可以吗?
9 Q! n1 P. \" U5 ]) {. C2 |" M5 B' j: o5 Y
0 l: m% @* u: R0 T
大东:当然不是那么简单。由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模式下进行,而且要把Windows设置成显示所有文件。并打开Windows的“搜索文件”,文件名称输入“_hook.dll”,搜索位置选择Windows的安装目录(默认98/xp为C:\windows,2k/NT为C:\Winnt)。经过搜索,在Windows目录(不包含子目录)下发现了一个名为Game_Hook.dll的文件。
2 s0 T2 m* o6 }6 r) f+ @9 M. K$ Y: x j& K! u; D" m+ K
8 \# W* E9 Z! y8 d& e/ i( \6 a
小白:这就是灰鸽子文件了吧!2 m6 e; ~, C1 ?% x! `
" a/ F) e+ T- E
# k0 c% ]0 W8 ^0 n0 j# S+ T
大东:还不能确定。如果Game_Hook.DLL是灰鸽子的文件,则在操作系统安装目录下还会有Game.exe和Game.dll文件。这才是真正的灰鸽子的服务端,不能“冤枉”好人啊!
) N" c" I/ S5 t6 J5 H
& u; U# J( _. I) k P6 F3 |. E( K5 B& I% @/ w4 n
Game.exe和Game.dll。图片来源于网络 ! |1 w- z& o1 `; u; h, A
. ^9 t! Q& h6 r/ `, X
) Q d$ W7 p( N小白:原来是在这样。把这几个文件删除就可以和灰鸽子病毒say goodbye了吧!$ Q0 G7 t* G; ]1 M
/ ~7 V$ N$ u a: k( T1 j- z3 W* |# c5 \
* `- I- w8 d4 p- ~大东:总共有两步,这只是其中的一步。首先清除灰鸽子的服务,注意一定要在注册表里完成。清除灰鸽子的服务一定要先备份注册表,或者到纯DOS下将注册表文件更名,然后再去注册表删除灰鸽子的服务。因为病毒会和EXE文件进行关联。
0 G q- V9 i' _/ I' z) g& [& s- ]6 L( D
, c+ c$ h# c; s- t, S) i
: r) g9 y0 a2 k小白:东哥,具体应该怎么做啊?教教我呗。5 X2 ]3 I& g, Y9 D( Y8 k; [* m
) M: R$ G" |# j" |: U( N* |0 i1 ]2 z, u
! B8 N+ h( c) w
大东:第一步打开注册表编辑器(点击“开始”- “运行”,输入“Regedit.exe”,确定。),打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。第二步点击菜单“编辑” “查找”—“查找目标”输入“game.exe”,点击确定,我们就可以找到灰鸽子的服务项(此例为Game_Server,每个人这个服务项名称是不同的)。第三步删除整个Game_Server项。 r5 v" i9 `* I1 C( o7 Q. x
( D& {, }: [# B% m+ M( z
! }+ D6 t$ V* _" z0 ]% P' V查找game.exe。图片来源于网络 ) A, m# | B) \; n
9 x) Z1 d8 i; I" r5 S4 `6 Y小白:这其中的第二步是不是就是我刚才说的删除Game.exe和Game.dll。 G4 H5 f% D/ _4 W9 b3 ?$ q" T$ Z
e& h4 N- q1 {% _- i2 B9 I
+ s: a, w9 [2 x- W2 U: K' K大东:bingo!你只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件,然后重新启动计算机,就彻底告别灰鸽子病毒了。
( _8 ?% G2 Z+ k* V% ?( _ % H. O- u5 p$ r) {
四、防范措施
) A' ~6 W. v" f! a% ?) U5 r% X$ m* s) N4 n
小白:东哥,那该如何防范灰鸽子这类病毒呢?
+ E3 A( J+ i( p3 K* j. I0 f: j, e, E; G) { Y4 r5 X
/ }* M* p. a6 N* A( Y1 G2 D1 `2 A
大东:有些办法虽然有些原始,但总是最好用的。比如说给系统安装补丁程序。通过Windows Update安装好系统补丁程序(关键更新、安全更新和Service pack)。% N. }6 s! a* b8 J
4 B# E9 x8 t3 F3 S6 o- E
; Z$ {% {# v8 G( w5 X2 T- b5 S小白:东哥,我们老说打补丁,补丁的专业解释是什么呀?我们为什么要定期打补丁呢?& z: P- d/ u p5 V, [
# q: ]2 g! L, C7 P: w! i
: {5 O+ Q# q4 |0 o/ \" c: [: W5 W2 x大东:补丁就是操作系统的不定期错误漏洞修复程序。一般在开发过程中,一开始有很多因素是没有考虑到的,但是随着时间的推移,存在的漏洞问题会慢慢被发现。这时候,为了对系统本身存在的漏洞问题进行修复,系统开发者会发布相应的补丁。黑客如果利用这些漏洞,就可以得到计算机的控制权。; k5 i/ s- u1 a, b, t+ w7 {6 }. Y
' u+ v) m W& k$ G* X5 F$ Y
/ N0 K) `" T; T& I1 ~2 \$ E. X% ^小白:东哥,还有类似的“原始”方法吗?" L. h1 u6 k! N( \
. Q5 o; ?) s9 }% `/ m( D
2 N2 F, F2 |1 Y. O6 e9 V, r. I
' G% w" m3 ]1 f% u$ D2 o1 ^7 e
" h* J* q* K; J; Z ^. l大东:给系统管理员帐户设置足够复杂足够强壮的密码,最好能是10位以上,字母+数字+其它符号的组合;也可以禁用/删除一些不使用的帐户。如果记忆力够好,经常改变密码也是也是个不错的选择。
. y- `% P% e1 K5 [: K9 J
- L1 i5 Y2 I# {" z# e& z8 b' ^& k* l* X" ~
小白:对,比如说我就经常换密码。$ y* n1 n2 L% u4 N) e
! P3 S& k/ f' G
) ^: b! Z! V) ] ^! w大东:哎,不过你也总是忘记密码。不过单纯地讲,换密码这个习惯还是不错的。7 v) x4 T; ~9 h/ p
! i4 m) x1 B$ N. s
) C' j B+ K3 {1 p1 u+ m- F2 }
小白:东哥,你总揭我老底,就不能给我留点面子嘛?
1 N6 v. q! S+ w' D+ a2 I& z0 `; L$ T4 U; I& N K% y9 E
% X4 f" t- y7 J4 w6 D8 N8 \大东:(装作听不见的样子) 嗯,我们继续说防范的方法。经常更新杀毒软件(病毒库),安装并合理使用网络防火墙软件是十分必要的。网络防火墙在防病毒过程中起到至关重要的作用,能有效地阻挡自来网络的攻击和病毒的入侵。
4 R" H' V& Z5 I- A; b# W3 z1 V l3 ^4 I" M5 e1 W5 _& q
9 ^$ Z! v! Y) u2 w1 t7 Z6 w
小白:东哥,还有吗?! I( a; |" q- w# c2 o9 C
- \" Y# Q3 `6 t8 K7 P
* t C5 t$ |; P* u F# Y" P& T8 t
大东:关闭一些不需要的服务,条件允许的话可以关闭没有必要的共享,也包括C$、D$等管理共享。完全单机的用户可直接关闭Server服务。
0 m0 n$ u: N# Z. P7 Z! g& ^$ W& s5 F: ?& D2 A2 K0 m' N4 }# F
. y; q8 O/ j+ m
小白:懂了。东哥,通过你刚才的讲解,我回忆起来了许多东西。6 d# F q) e4 a0 ?: S
# q/ j8 N6 [6 g: C7 e
2 v9 |( E8 Q) }1 {1 l b
大东:温故而知新嘛!1 N/ }/ ~ I1 W) y- J* M" R& ?
: k7 X9 R t4 z5 B" N
) F/ \4 h4 M" Q. n/ f8 k0 l来源:中国科学院计算技术研究所' a; Q6 p& `, ~4 ?$ S
# }) l! J" ~, s2 i
. M( z6 ?; o4 R: J9 ]$ Z
温馨提示:近期,微信公众号信息流改版。每个用户可以设置 常读订阅号,这些订阅号将以大卡片的形式展示。因此,如果不想错过“中科院之声”的文章,你一定要进行以下操作:进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」
6 E* t" p. `8 g5 g& R& a% G" N! n! R. R( L L8 m
& r ^8 q9 I$ i# v3 b0 U! D7 _' Q# i4 u/ h `' z) k* R
# @$ x3 l5 [" ~* |9 G4 e# n5 u
( t5 D( [- J4 I3 `: x
( B+ Y9 T: b* r7 U来源:http://mp.weixin.qq.com/s?src=11×tamp=1574510402&ver=1992&signature=Tvxe-dv0Pli2WOy8jx6-Hw7rnv9HYpasycZdOiA27ix8cPjxnROs0K1kkvdUU-4qOv15U3svsKSNcI-QAj5BtJGG0rX5r4iFdLPgzGOu9EXoWlxVCaXxE1chtktOJjK2&new=1, ]$ M6 y5 D0 t$ R& V! G' v
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
/6 
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-11-23 20:40:29
