一、灰鸽子病毒事件, J; }( N* D' T. k5 f
( o( f3 x" h; q3 l- U* a! e0 ^
& v8 |8 Z/ x) \$ I9 w
小白:东哥,我最近弄了个新鲜的东西,可以远程控制我家的家电,例如空调,电视,冰箱……& n, x- T+ ?6 j" W
$ y+ K& [! L% E2 K6 A& `0 b ^
# R% W) e" Q: Q2 J大东:嗯,这个不错!
6 v7 \; r4 }. o2 W/ {, ]7 M6 T+ i
- m E2 T d# U& T& n- Y# c
8 }4 ?& V6 q8 P$ @5 A' e2 ~手机远程控制空调。图片来源于网络
; Q& ? e; _2 B3 |2 p7 D9 X# m C; W7 V! p- U8 A) s& u- O' B5 |
$ ~2 T) q" r W9 d0 n
小白: 是啊,最便捷的是有手机、有WIFI就可以实现远程控制功能。
1 z" t" L, t& Q( c6 F
4 o+ M& [2 a% F/ n5 F" n1 Y6 \/ ^; D
! D$ x! k' s8 n9 z, a2 ?大东:等一下,便捷中往往隐藏着“邪恶”,你可要小心灰鸽子病毒啊!
4 H- |% s, S6 d, t' ?' g6 t% j( A% z% N, D$ m5 z
/ `" }) z5 _1 r* ^! J小白:灰鸽子病毒?
! N/ B1 v- V+ D$ C. k& R5 i8 d* v0 a
) C5 n k) r& r. B9 `
大东:是的。灰鸽子本身是一款远程控制软件,但是因为恶意使用,又被认为是一个集多种控制方法于一体的木马病毒,一旦用户电脑不幸感染,可以说用户的一举一动都在黑客的监控之下,要窃取账号、密码、照片、重要文件都轻而易举。
4 h* w) Q5 z! s* [; d1 ]& N1 B& r5 ~2 A- }$ Q/ E
( F6 E9 Z! Z; E/ }
小白:我的天啊,那我的隐私岂不是完全暴露在大家的面前了?!. G: [! [: z% _) H, O2 ]4 k0 e3 Y
- z& P6 s9 ?& C( E
, w! x" S! ~/ N: N4 r4 a8 ^8 Z
大东:不仅如此,他们还可以连续捕获远程电脑屏幕,还能监控被控电脑上的摄像头,自动开机(不开显示器)并利用摄像头进行录像。 e: @2 o/ K S
1 [ b0 g3 T+ y8 v5 T5 n- I9 t, k& t: X: l& I8 E" b1 ?
小白:简直是太可怕了!假如我没洗头、没洗脸、穿着邋遢衣服的样子被拍了下来,上传到网上的话……7 \7 G$ i3 R9 G5 H9 Z
A* o) K: I4 Z# _( d8 u
2 Y+ q# c* T# H9 C
# `: U' ?2 y* i1 y, Z/ V& A2 t
5 A/ i9 f* N6 e; _: A3 `1 I$ I1 J大东:emmmmm……你这个颜值估计上传了也没人看。我们言归正传,继续说灰鸽子的事。随着“灰鸽子2007”的发布,当年仅3月1日至13日,金山毒霸截获的灰鸽子变种数就达到521个。盗号、偷窥、敲诈以及骇人听闻的公开“叫卖”,危害更甚于熊猫烧香。
- }/ k) {; y: l; k3 R4 f( w+ ?6 F; M% ~
6 ?: q- z2 e+ M0 V+ `7 B5 Z9 Z. c, U0 V& K+ m7 m
小白:这群人简直太可恶了!3 q* y* P$ Q/ u7 S2 R
7 C7 i) h. t) m. W0 n
, O1 W% Y* Z, `& Z) \# A9 `
大东:而且灰鸽子已不再是一个单纯的病毒,其背后是一条制造病毒、贩卖病毒、病毒培训为一体的黑色产业链,从某种意义上讲,灰鸽子的危害超出熊猫烧香10倍! 3 b& S7 h* E1 c
; X# I0 w% O; i/ t, ]
8 D! B3 d% T0 s# |灰鸽子产业链示意图。图片来源于网络 & P+ V0 H4 k* Y1 C4 q- B; ~2 c
2 Q& p. U3 H4 o6 `7 a: |* r小白:东哥,那我们就拿灰鸽子一点办法都没有吗?
+ v3 `8 P7 y+ V" \5 Z8 }9 M+ \/ e8 y
" J# \' v& G) q4 o8 o
大东:灰鸽子虽然强大,但它并不是完美无缺的。让我为你解析一下这个难缠的病毒。
, _8 v: v; g7 `; Q0 C& I. U
3 Y6 D2 `2 W7 F7 f二、灰鸽子病毒发展史: G( F$ l1 L3 b' Q( C
( ^9 b4 c$ q9 B* b$ j$ |7 n# `4 D1 D& L
大东:先来说说灰鸽子病毒的发展史吧。$ U, z9 c1 O, f- K% R* c
# r( p1 ]1 e! V9 ]( r, T- m! w! R# a$ |
小白:好呀,我最喜欢听历史了。
% ~0 J+ F. \+ b
; H* n* V* U! s+ x' l
6 h1 R" x. h4 |( t% v s% p大东:灰鸽子病毒发展分三个时期:诞生期、模仿期、飞速发展期。
& I, }/ C/ I/ K4 |1 o* v8 X) n) N& r( G$ G2 q
6 ^: D) p* m W3 o8 n5 E9 b7 z小白:先说说诞生期吧。
0 ?+ |+ n% `2 `4 J; A8 \3 [& ^% S, T1 D/ I8 L3 a% S) L$ R' n' d" U
+ ~ \) L; u- I7 ~# L
大东:诞生期自2001年,灰鸽子诞生之日起,就被反病毒专业人士判定为最具危险性的后门程序,并引发安全领域的高度关注。2004年、2005年、2006年,灰鸽子木马连续三年被国内各大杀毒厂商评选为年度十大病毒,灰鸽子也因此声名大噪,逐步成为媒体以及网民关注的焦点。
4 t1 X5 }6 ]( N, @
, g7 a# l4 _ q& s
9 d2 u6 b5 x: ?) x( b: r* O) Y小白:最具危险性的后门程序,听上去很厉害嘛。
9 y7 h, r6 l3 f+ p
( ^6 E K2 I+ Q4 ^' K- d4 y' H' Z" @, [' \2 k
大东:模仿时期,灰鸽子最早出现的时候是在模仿“冰河”。它采用Delphi编写,采用了源码共享的方式出现在互联网。虽然“灰鸽子”在当时的名气不及“冰河”,但由于开放源码的方式让“灰鸽子”逐渐增大了传播量。3 W2 x3 z7 C; O' w& I+ T
) X) F" p( W% G( T) D4 D2 g1 e: U1 C7 H6 N
小白:这么说来冰河是灰鸽子的“前辈”啦!那冰河也是远程控制软件吗?
3 W. X. i. n r G* G- Z- U) \2 M4 o3 P: q* U; l+ S0 M2 a
7 h0 g) w4 p U, a% ~5 }大东:是的。冰河的可怕之处在于自动跟踪目标机屏幕变化,同时可以完全模拟键盘及鼠标输入、记录各种口令信息。还包括获取系统信息,例如计算机名、注册公司、当前用户等多项系统数据。远程关机、远程重启计算机、锁定鼠标及锁定注册表等多项功能限制也是他的拿手强项。7 l. I H h9 D1 b r+ q- A1 Y
$ l" T2 l. |- E9 l1 K' K0 A( e9 ~0 J
小白:说远了,该说灰鸽子病毒飞速发展时期了。
1 D( ?5 W% d+ W# }' R$ ^+ l% M) `$ D1 B
; R/ W2 W, Q% {+ Z, p4 V* z. y大东:2004和2005这两年之间,灰鸽子逐步进入了成熟的状态,由于源码的释放,大量变种在互联网中衍生。2004年灰鸽子总共发现了1000多变种,而在2005年,这个数字迅速上升到了3000多。% S& t' p% |5 I: n, S
6 u) V' |3 f( x$ Y
, F4 S: j1 _ n+ @3 T6 e; h
小白:变种也太快了吧?!: H2 \; Z- z, O' n4 K: R
, u2 M$ N0 q! t: I
. [! k3 T; |" Q% R大东:“灰鸽子”最大的危害在于潜伏在用户系统中,由于其使用的“反弹端口”原理,一些在局域网(企业网)中的用户也受到了“灰鸽子”的侵害,使得受害用户数大大提高。2004年的感染统计为103483人,而到2005年数字攀升到890321人。“灰鸽子”本身所具备的键盘记录、屏幕捕捉、文件上传下载和运行、摄像头控制等功能,将使用户没任何隐私可言,更可怕的是服务端高度隐藏自己,使受害者无从得知感染此病毒。
7 c+ ?6 ^, I4 D s9 N
: B: j# Q. K( t5 B4 V* ]1 o5 R
% w9 |$ J2 d) o2 V! [. D小白:令人害怕!
5 ?- H8 x. h3 u2 ~7 [9 y2 x
9 {. W! P* T$ |. K. W0 W% P三、灰鸽子病毒清除办法( n* f6 D5 o- u" ^/ i+ p3 y% a
! ?# |: b& K W
% V# q+ ]& o `9 F, b大东: 但是利用一些检测方法就可以将灰鸽子揪出来。通过研究发现,无论自定义的服务器端文件名是什么,一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点,我们可以较为准确手工检测出灰鸽子服务端。( P. W( i. Y i# ^. |
. o5 ?( }$ h! w, q' G6 r; x
6 D6 C" l* Q3 e6 |小白:那是把“_hook.dll”结尾的文件删掉就可以吗?
- T$ S! f$ ^, w) |! y
& [4 D' A. b: y: W: e) O% \8 [7 G$ r/ _. H2 ]1 V
大东:当然不是那么简单。由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模式下进行,而且要把Windows设置成显示所有文件。并打开Windows的“搜索文件”,文件名称输入“_hook.dll”,搜索位置选择Windows的安装目录(默认98/xp为C:\windows,2k/NT为C:\Winnt)。经过搜索,在Windows目录(不包含子目录)下发现了一个名为Game_Hook.dll的文件。
- r H6 \% r! W0 S" A! H* J4 K+ w
1 R$ ~! E6 ]$ H1 j# N3 n7 A% P6 `' g0 u3 F; U# f7 k. r" C4 d
小白:这就是灰鸽子文件了吧!; U+ T% C3 U/ [/ _
0 n7 i; S1 g% P; _* [( K# g; L/ {0 \/ F6 Q! V0 Y2 }
大东:还不能确定。如果Game_Hook.DLL是灰鸽子的文件,则在操作系统安装目录下还会有Game.exe和Game.dll文件。这才是真正的灰鸽子的服务端,不能“冤枉”好人啊!
0 d; j( Y, w9 ?) A5 \ . f) |+ W8 T9 W
7 b% e M* b- e8 [1 }Game.exe和Game.dll。图片来源于网络
0 K3 u4 f( Y+ p2 T* ]
. @1 [# A. |3 @4 L0 O* k# @
+ I A+ d) E+ l# l小白:原来是在这样。把这几个文件删除就可以和灰鸽子病毒say goodbye了吧!
0 [0 A0 E; g, U3 w1 t; i$ U+ K0 P0 L( \ G1 E
5 K# D0 Q/ V0 {6 b0 O U大东:总共有两步,这只是其中的一步。首先清除灰鸽子的服务,注意一定要在注册表里完成。清除灰鸽子的服务一定要先备份注册表,或者到纯DOS下将注册表文件更名,然后再去注册表删除灰鸽子的服务。因为病毒会和EXE文件进行关联。/ U* z0 u T, l9 V8 M
# N6 z0 D1 j7 Y9 o8 u9 [6 x8 _1 v1 l& x: Q" ?/ B
小白:东哥,具体应该怎么做啊?教教我呗。- [ G7 s$ H6 b$ b( k
7 H' e( }7 o$ Q
( {4 C8 O# C3 i7 O; ?% N
大东:第一步打开注册表编辑器(点击“开始”- “运行”,输入“Regedit.exe”,确定。),打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。第二步点击菜单“编辑” “查找”—“查找目标”输入“game.exe”,点击确定,我们就可以找到灰鸽子的服务项(此例为Game_Server,每个人这个服务项名称是不同的)。第三步删除整个Game_Server项。
3 v1 z% I& Z3 i6 l& Z) D7 Z . ^ r# v7 E T1 O, Z) x( @
l5 H, L, i9 d! b/ v" [5 Q" r4 R. P查找game.exe。图片来源于网络 5 y" E1 {1 J/ C" G$ ^
( ]/ s% M8 e+ i, L# j小白:这其中的第二步是不是就是我刚才说的删除Game.exe和Game.dll。
h' F( c( N, l5 H8 B' I" d4 X2 Y" E2 s8 M2 T
- P! a. G- d( Y" S+ j# S U- `
大东:bingo!你只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件,然后重新启动计算机,就彻底告别灰鸽子病毒了。
$ H0 s! _) v/ e3 R5 ^ ' @- T' r0 b- d1 }
四、防范措施
1 a& o u6 }! Z' a. h, C$ h3 o8 ]% Z" N9 |" p1 Y. Q
小白:东哥,那该如何防范灰鸽子这类病毒呢?7 X' d6 j! Y0 W% ~- w2 W2 e# h! l# v) x5 _
1 T4 l, H* w$ e. F& M
$ `2 x+ O) O" h* Z7 U8 C大东:有些办法虽然有些原始,但总是最好用的。比如说给系统安装补丁程序。通过Windows Update安装好系统补丁程序(关键更新、安全更新和Service pack)。
8 H$ j0 z$ @% ~4 l
p3 B5 p' U6 V# n$ B
1 a" j' i7 z& a6 h. o1 b) N$ D+ K小白:东哥,我们老说打补丁,补丁的专业解释是什么呀?我们为什么要定期打补丁呢?
4 a8 I" z3 {- b$ ]+ s& z& u! u7 B- a6 w
+ K$ a, r0 {* h- @/ f9 P) Q大东:补丁就是操作系统的不定期错误漏洞修复程序。一般在开发过程中,一开始有很多因素是没有考虑到的,但是随着时间的推移,存在的漏洞问题会慢慢被发现。这时候,为了对系统本身存在的漏洞问题进行修复,系统开发者会发布相应的补丁。黑客如果利用这些漏洞,就可以得到计算机的控制权。! j6 k j- b5 R0 }
- A4 |" o7 x$ O
6 ^2 }* X- y8 k7 x6 ?小白:东哥,还有类似的“原始”方法吗?
3 o; H- g& H [" |
( H$ l: r3 C6 n! a% F
2 M' v6 D( T% I3 ^2 ]2 ?
2 L% Z0 L+ X5 H$ F" Q7 ]/ C$ V
/ V" h( j# u) Z% B
大东:给系统管理员帐户设置足够复杂足够强壮的密码,最好能是10位以上,字母+数字+其它符号的组合;也可以禁用/删除一些不使用的帐户。如果记忆力够好,经常改变密码也是也是个不错的选择。. Q( v6 V1 E" F# {7 `/ q9 e
" e, o8 X3 k) w* f9 @5 ^4 S6 _8 r7 H' Y* Q H! _" u
小白:对,比如说我就经常换密码。
! b* p" _+ C" q8 [/ O( ?; U8 Z9 E+ {% a8 ~, ?, P& U/ @2 E
' E. {" S. }! c
大东:哎,不过你也总是忘记密码。不过单纯地讲,换密码这个习惯还是不错的。
# V( P0 ?, R, ]# k1 p$ T0 Z& a( M, r8 \: Q p6 e
6 q5 g7 h( [ p+ \) q+ x
小白:东哥,你总揭我老底,就不能给我留点面子嘛?! S8 p; m2 Y7 H V
2 L( ~& y' l. ?* d, Q" D% U5 |2 Y! n0 k6 y2 g0 z% f
大东:(装作听不见的样子) 嗯,我们继续说防范的方法。经常更新杀毒软件(病毒库),安装并合理使用网络防火墙软件是十分必要的。网络防火墙在防病毒过程中起到至关重要的作用,能有效地阻挡自来网络的攻击和病毒的入侵。
9 W( {& U0 u5 |3 R, {1 \$ c U
9 J1 u1 V% ~' }, h4 r, n4 _
/ H2 [3 _" m2 }小白:东哥,还有吗?
+ V( q$ H# d$ O- R7 I1 w8 ]2 x- E2 r) h% k5 m; ?' |
: u2 l& A3 ?/ r/ @7 j! _# k& g
大东:关闭一些不需要的服务,条件允许的话可以关闭没有必要的共享,也包括C$、D$等管理共享。完全单机的用户可直接关闭Server服务。
/ X8 e/ ]! P- z4 a2 R8 |' O- w2 _$ @( V' A, l3 L
x' b$ r1 O4 n6 H( i, ^. k
小白:懂了。东哥,通过你刚才的讲解,我回忆起来了许多东西。( E! a5 K0 k2 \* u8 }5 Z$ w
" D+ I4 }$ ^6 }# A. p
1 A4 k' U! i6 {
大东:温故而知新嘛!2 I% |" M$ J! u2 g: j
& o. n" F: j! \7 v2 L$ c' b5 w F" J
来源:中国科学院计算技术研究所
/ n, K$ G5 m* w- Q4 P# I7 {5 a! v# p7 A8 n7 K! r6 D) L- r5 e. R
' y/ F" W9 m- G# y) p
温馨提示:近期,微信公众号信息流改版。每个用户可以设置 常读订阅号,这些订阅号将以大卡片的形式展示。因此,如果不想错过“中科院之声”的文章,你一定要进行以下操作:进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」2 T4 L: |5 B- T4 @1 w. V! r% A3 X
2 S7 y. p) Q6 p& m2 _! X& _- O ?3 O$ R( }( \; ~
$ ^+ f1 _0 A& T6 z
. G# E/ x! w& v4 `( S% k$ i+ K9 K 1 q8 [( \$ e3 C
, v$ N2 k( H8 `% B% x& S+ H
来源:http://mp.weixin.qq.com/s?src=11×tamp=1574510402&ver=1992&signature=Tvxe-dv0Pli2WOy8jx6-Hw7rnv9HYpasycZdOiA27ix8cPjxnROs0K1kkvdUU-4qOv15U3svsKSNcI-QAj5BtJGG0rX5r4iFdLPgzGOu9EXoWlxVCaXxE1chtktOJjK2&new=18 ~# D/ Z) k6 f( ~9 V% L
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
/6 
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-11-23 20:40:29
