|
|
一、灰鸽子病毒事件* u/ z" Q: _* H& ?$ X0 I7 ]% Y& \
% o. J/ b& S$ n+ s. a* b# j! G5 K" K- R: l
小白:东哥,我最近弄了个新鲜的东西,可以远程控制我家的家电,例如空调,电视,冰箱……
* m+ r4 g \3 V X5 z$ q5 s* B, C6 j: J, M" [4 D1 ^2 l' W$ C
" Q0 l" G$ T; L; c
大东:嗯,这个不错!
/ m( C7 v- C' J. `; C
; s8 e% C! p& m M. x3 u
& a- y0 e' q! M* J# Y, Y2 i手机远程控制空调。图片来源于网络 ( ^8 x# f a+ ?4 e7 }
8 e5 i+ j' W7 w/ h0 }6 V! ^( c" J, v- w3 F7 I
, e/ o4 N0 \" j* A4 \1 g" n
小白: 是啊,最便捷的是有手机、有WIFI就可以实现远程控制功能。1 m* X5 u' F3 j% E
3 y6 d8 k" e' C+ {" r! {( @1 x3 p: P# D f& U! ?- {1 _
大东:等一下,便捷中往往隐藏着“邪恶”,你可要小心灰鸽子病毒啊!6 Y; z' b9 d/ G1 @$ d" ?3 ^
! C8 [' H' ?. A8 G6 n6 J
# x) j Y7 }, p F! l小白:灰鸽子病毒?
9 F0 t! Z5 i r T0 F Z; ~, ?) S3 K9 q. }0 u
+ V$ ~6 F( g8 S, @$ [
大东:是的。灰鸽子本身是一款远程控制软件,但是因为恶意使用,又被认为是一个集多种控制方法于一体的木马病毒,一旦用户电脑不幸感染,可以说用户的一举一动都在黑客的监控之下,要窃取账号、密码、照片、重要文件都轻而易举。
% e% D& E. E$ A! Q+ |( D( V4 A- h9 t7 e/ k }2 Q, p. B
5 S7 w5 P+ ?. _$ s& T" u& S
小白:我的天啊,那我的隐私岂不是完全暴露在大家的面前了?!# S. G `( z6 r9 i1 q4 p
7 E; z' A: |2 j# x7 V6 w. e
9 n# x- F1 i6 M2 B6 }' U, C4 {
大东:不仅如此,他们还可以连续捕获远程电脑屏幕,还能监控被控电脑上的摄像头,自动开机(不开显示器)并利用摄像头进行录像。; e0 [* ?4 E9 M& V# D
. ]2 i& [8 P1 c7 p5 j' _
5 r% `2 b3 Q5 G( h3 z小白:简直是太可怕了!假如我没洗头、没洗脸、穿着邋遢衣服的样子被拍了下来,上传到网上的话……1 [) x) h9 s; K1 I9 o" f5 C7 P' I
( p3 Y. B( c1 g! e6 l/ }7 [. d- O+ u! s: C
) Z4 B* v9 P$ Y$ ^; M7 h# O4 z) X2 G' v* o% }9 r; ~
大东:emmmmm……你这个颜值估计上传了也没人看。我们言归正传,继续说灰鸽子的事。随着“灰鸽子2007”的发布,当年仅3月1日至13日,金山毒霸截获的灰鸽子变种数就达到521个。盗号、偷窥、敲诈以及骇人听闻的公开“叫卖”,危害更甚于熊猫烧香。
! f4 y% I4 j2 Y2 D. _5 [
5 |: P% ~" s$ o! e8 N4 e9 Y0 P
; p! Q% C; s) J! ?) h) Z& w小白:这群人简直太可恶了!; ]* m7 U, ]% M1 y/ H( V6 j
5 O6 P0 `& G r* V6 ^6 i! }2 D5 U2 P4 k: t. ]! s8 g. ]/ m) A
大东:而且灰鸽子已不再是一个单纯的病毒,其背后是一条制造病毒、贩卖病毒、病毒培训为一体的黑色产业链,从某种意义上讲,灰鸽子的危害超出熊猫烧香10倍! ; O: h& `+ U! \. e
1 ], @$ t, A3 t
/ [" J: S$ ?. ]7 F& X灰鸽子产业链示意图。图片来源于网络 6 o% W1 K1 `* f" P/ ]6 Z8 ~
0 h- n) E3 d6 j. o8 K: i* W0 B
小白:东哥,那我们就拿灰鸽子一点办法都没有吗?
* G0 ~. b$ R6 j" Q
, p( N c. ]' L) b1 O9 p8 O, U" |, Z% }; c' s2 |2 v1 R
大东:灰鸽子虽然强大,但它并不是完美无缺的。让我为你解析一下这个难缠的病毒。
2 _# X% a% E1 g% j6 G: M 1 k% N" \( S. k; f3 `" @' [( L
二、灰鸽子病毒发展史/ A% y( a7 T( i% P) n: [
2 ~ w+ j, t( `" j
; z* L$ ]" m) |/ \8 R" ]
大东:先来说说灰鸽子病毒的发展史吧。
/ f; W3 D( d% J: C" u& D
5 Z2 K7 A2 @" i2 y$ z0 ~ N2 E9 }
$ v2 @, W0 Y* M; M; r" z小白:好呀,我最喜欢听历史了。
& F6 r" T# C: s4 M% Z! Z7 C. t- q( w7 I
( n9 G4 u3 J; }' m/ k2 c4 j
大东:灰鸽子病毒发展分三个时期:诞生期、模仿期、飞速发展期。1 ~7 l4 b- R7 W) |$ g
1 W2 ~1 \+ p; M! d! n3 |: v
% R8 c' R7 T; r! u小白:先说说诞生期吧。
, k% o4 S; E8 Q7 Q r' a
% a# Q0 D+ G/ e; G
# w7 A9 k6 E2 F' d6 b( @8 l+ @1 G大东:诞生期自2001年,灰鸽子诞生之日起,就被反病毒专业人士判定为最具危险性的后门程序,并引发安全领域的高度关注。2004年、2005年、2006年,灰鸽子木马连续三年被国内各大杀毒厂商评选为年度十大病毒,灰鸽子也因此声名大噪,逐步成为媒体以及网民关注的焦点。* g* ?7 B$ T4 I; D
# p3 d, @* R% b' H1 j
$ A$ S) L! e$ e9 K- e( G* g" C
小白:最具危险性的后门程序,听上去很厉害嘛。( d5 V$ t# c: ~# j
9 k" K9 e _* ^" T3 d" G. i* l) E+ L2 R" b' G5 A
大东:模仿时期,灰鸽子最早出现的时候是在模仿“冰河”。它采用Delphi编写,采用了源码共享的方式出现在互联网。虽然“灰鸽子”在当时的名气不及“冰河”,但由于开放源码的方式让“灰鸽子”逐渐增大了传播量。/ g8 o4 t& C, b6 L/ m" h
, R9 J, m6 A% J$ c; z, L: b4 B/ x/ S" o0 c5 `+ m9 ^$ J
小白:这么说来冰河是灰鸽子的“前辈”啦!那冰河也是远程控制软件吗?
( }5 N: p9 l( A! I, }; w0 H0 Y+ x- d) u! g% [
0 q1 P+ C8 `( ~( p. j
大东:是的。冰河的可怕之处在于自动跟踪目标机屏幕变化,同时可以完全模拟键盘及鼠标输入、记录各种口令信息。还包括获取系统信息,例如计算机名、注册公司、当前用户等多项系统数据。远程关机、远程重启计算机、锁定鼠标及锁定注册表等多项功能限制也是他的拿手强项。5 n6 V# b0 B# }: v! ^5 e
9 e. t: }3 a, O7 l3 W) r/ X* V8 z, s; P7 P
小白:说远了,该说灰鸽子病毒飞速发展时期了。
& Q: L% o1 n9 I1 `; c. s# j1 M
$ g- M; R! V9 S0 C2 U3 n3 @4 _/ G8 `. a/ h) s; X
大东:2004和2005这两年之间,灰鸽子逐步进入了成熟的状态,由于源码的释放,大量变种在互联网中衍生。2004年灰鸽子总共发现了1000多变种,而在2005年,这个数字迅速上升到了3000多。0 v' c- x3 \4 }5 y! Z
/ ?! K0 D7 t" F
: V+ ?: f R, X小白:变种也太快了吧?!4 D& @" n# w5 b. P5 B; m
" @, a% {3 o5 X T5 y8 d
0 Z" j" {$ j* K/ Y大东:“灰鸽子”最大的危害在于潜伏在用户系统中,由于其使用的“反弹端口”原理,一些在局域网(企业网)中的用户也受到了“灰鸽子”的侵害,使得受害用户数大大提高。2004年的感染统计为103483人,而到2005年数字攀升到890321人。“灰鸽子”本身所具备的键盘记录、屏幕捕捉、文件上传下载和运行、摄像头控制等功能,将使用户没任何隐私可言,更可怕的是服务端高度隐藏自己,使受害者无从得知感染此病毒。
* e7 X g; S% N' I$ A! Y! L- ^2 i8 q+ `% u" m" s; ]; ^, |9 V
+ e% ]2 ?' r! C5 C" X* M; ^
小白:令人害怕!% W; g; V v. I" s/ s( }9 m- T# z; Z
% n0 h/ O. A6 {% |. N3 _8 O1 }
三、灰鸽子病毒清除办法( A: J: t) i$ l. p7 W# i; i) d% d1 I( l
, l, A2 P2 }9 d/ Q* H' B) c+ d D0 \6 `% v6 {
大东: 但是利用一些检测方法就可以将灰鸽子揪出来。通过研究发现,无论自定义的服务器端文件名是什么,一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点,我们可以较为准确手工检测出灰鸽子服务端。% g+ n: s1 v( o3 C3 ^% g
+ b% _: t* { e b3 p
0 q4 ?3 B: K6 ]小白:那是把“_hook.dll”结尾的文件删掉就可以吗?
% ~- E, S4 f: N" n
9 I. I+ m- ~' _' j5 A' l
5 F/ N) [! R( L M大东:当然不是那么简单。由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模式下进行,而且要把Windows设置成显示所有文件。并打开Windows的“搜索文件”,文件名称输入“_hook.dll”,搜索位置选择Windows的安装目录(默认98/xp为C:\windows,2k/NT为C:\Winnt)。经过搜索,在Windows目录(不包含子目录)下发现了一个名为Game_Hook.dll的文件。
$ I- N0 h: S/ D: @- `2 w5 `/ i9 F. [; o+ P1 [
8 Z( V7 q# w1 }) x5 D& ]1 Z) c
小白:这就是灰鸽子文件了吧!
% E( U3 N" P$ D% [) K$ p& n! i1 l+ Z# W \1 a5 _
( y' ]+ f7 W3 d" ], q; m5 f2 I) f8 Q
大东:还不能确定。如果Game_Hook.DLL是灰鸽子的文件,则在操作系统安装目录下还会有Game.exe和Game.dll文件。这才是真正的灰鸽子的服务端,不能“冤枉”好人啊!
7 e6 F8 q6 t1 d4 T6 M# C6 B, V / b1 y/ ?8 C; f
) R s1 l, ^( x8 QGame.exe和Game.dll。图片来源于网络
1 y$ e6 {1 _# ?1 ]) @9 h
3 J+ H4 g+ R; P" c4 V% n, J ` N4 D- [1 j- W! b1 g, S$ v
小白:原来是在这样。把这几个文件删除就可以和灰鸽子病毒say goodbye了吧!- X" B6 ~7 S$ `) r- i6 H
4 {3 d! M) ?$ f& P8 u# n& o& L' ]
! M9 {/ m* {8 m- U1 a& H大东:总共有两步,这只是其中的一步。首先清除灰鸽子的服务,注意一定要在注册表里完成。清除灰鸽子的服务一定要先备份注册表,或者到纯DOS下将注册表文件更名,然后再去注册表删除灰鸽子的服务。因为病毒会和EXE文件进行关联。4 a! e1 c2 P" U9 T) B* q
" N2 @) C3 p; ?9 J9 K
3 Q4 M7 s$ d u9 k
小白:东哥,具体应该怎么做啊?教教我呗。% \9 r% T5 U6 k( T: F( c% M
: i4 e u% O7 Q/ e8 \7 h) m
! b+ P" h: t: ~# @/ o w/ x' R大东:第一步打开注册表编辑器(点击“开始”- “运行”,输入“Regedit.exe”,确定。),打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。第二步点击菜单“编辑” “查找”—“查找目标”输入“game.exe”,点击确定,我们就可以找到灰鸽子的服务项(此例为Game_Server,每个人这个服务项名称是不同的)。第三步删除整个Game_Server项。) |' f' E6 w0 g2 E E5 k
; @ f6 X& ^( z9 \6 ]* h0 w
% I/ E* r1 d7 J6 a5 e8 e, S( L0 R7 n
查找game.exe。图片来源于网络 % u) j% ]* N2 y- c" |* L
" H1 y3 L' ]5 m3 Q% ]
小白:这其中的第二步是不是就是我刚才说的删除Game.exe和Game.dll。! Z! c7 z5 }" X) M/ ?9 d
9 |" {6 R2 ?2 P$ k
/ O3 I3 Y& w$ ]% ~0 a/ S J7 y k
大东:bingo!你只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件,然后重新启动计算机,就彻底告别灰鸽子病毒了。0 a( R0 @* n& g7 i
7 @# Y1 y* ^1 b) S% R0 k
四、防范措施 B, h" M7 F" c) T8 M
4 M. J2 \6 [+ ~" k, q1 D: [+ y
小白:东哥,那该如何防范灰鸽子这类病毒呢?
( I/ C/ O' b. K2 _0 ^2 X \( {6 F- c) A: p4 E2 g, \4 ^
6 y# w6 Z5 a, l5 a9 x
大东:有些办法虽然有些原始,但总是最好用的。比如说给系统安装补丁程序。通过Windows Update安装好系统补丁程序(关键更新、安全更新和Service pack)。( o+ R6 G- \7 Q" A
; o+ q; @( B( Q$ ?1 U4 Y
% Y1 J! l5 b' `' e$ I8 ]" `
小白:东哥,我们老说打补丁,补丁的专业解释是什么呀?我们为什么要定期打补丁呢?
& c# V% w- X6 L1 @/ s& A( }8 o
0 c% e6 H$ ?4 R7 X& M0 k! E5 i* J+ d( r
大东:补丁就是操作系统的不定期错误漏洞修复程序。一般在开发过程中,一开始有很多因素是没有考虑到的,但是随着时间的推移,存在的漏洞问题会慢慢被发现。这时候,为了对系统本身存在的漏洞问题进行修复,系统开发者会发布相应的补丁。黑客如果利用这些漏洞,就可以得到计算机的控制权。
, G6 d( a1 ^' s6 M$ u& r. i# p+ w# D0 V' B6 m
( f" H0 i$ }4 A2 c3 t0 |, U% N/ i小白:东哥,还有类似的“原始”方法吗?8 e" v5 c: j- S! p0 Y4 i
& k% R" H5 k. `* a9 b2 r/ ~
? Q/ @3 f. S; o2 a! E0 F8 U, q# W) y
- f! H6 B! @+ `% z# @# m大东:给系统管理员帐户设置足够复杂足够强壮的密码,最好能是10位以上,字母+数字+其它符号的组合;也可以禁用/删除一些不使用的帐户。如果记忆力够好,经常改变密码也是也是个不错的选择。1 d# b. m# r$ P) a
8 z4 d- ?) S% r& ?! r# Y
" F5 G. ]: q) ]# v6 E' J
小白:对,比如说我就经常换密码。
, |1 g% y* @3 [
; k* A' b1 C* U0 Y& y: R2 s f- d1 |! V
7 x: S8 E6 Y- A7 K9 ^大东:哎,不过你也总是忘记密码。不过单纯地讲,换密码这个习惯还是不错的。, B8 ^# R# k" s& G0 e2 B9 W
/ l! o! a- }( b" m- P# P2 s
) ~- k, n5 I# R小白:东哥,你总揭我老底,就不能给我留点面子嘛?' X9 L& X% l5 t w( \% z3 p
9 g5 Y9 w! N& ]* Q
/ P; a+ i1 o9 w4 C4 L& _
大东:(装作听不见的样子) 嗯,我们继续说防范的方法。经常更新杀毒软件(病毒库),安装并合理使用网络防火墙软件是十分必要的。网络防火墙在防病毒过程中起到至关重要的作用,能有效地阻挡自来网络的攻击和病毒的入侵。' I/ z/ [- ~2 B* E$ J7 V# a2 o
! w) i+ I" |& e/ T
! X3 K. b: M# f& t# V( q$ ]+ A! q
小白:东哥,还有吗?0 q$ I& n7 g% k- R( m5 q4 z
' _! j( k1 \5 p- \) N6 c% R! k
; H2 O* _+ u% Q. Y3 ?0 ~: q+ [大东:关闭一些不需要的服务,条件允许的话可以关闭没有必要的共享,也包括C$、D$等管理共享。完全单机的用户可直接关闭Server服务。
6 `, C& U# x' X4 L; _0 \
8 R" F) \9 l0 }/ k _3 d1 Q& `
: T2 K3 Q3 A; Z1 Z) Q小白:懂了。东哥,通过你刚才的讲解,我回忆起来了许多东西。
3 D1 o- i" b2 ^
3 Y0 K" r" w( }
' X$ k3 P+ D1 a- p) B大东:温故而知新嘛!8 H! p8 t: L( ~8 D7 U% B' V
; V6 w8 w# |# C* k% ]$ ^" \4 W. c7 h6 u3 x, s% ^# {
来源:中国科学院计算技术研究所& q' S" [* |3 K9 B
6 M( |5 H0 q4 C/ O! d6 o w" j5 Z7 `4 A; F* T' t
温馨提示:近期,微信公众号信息流改版。每个用户可以设置 常读订阅号,这些订阅号将以大卡片的形式展示。因此,如果不想错过“中科院之声”的文章,你一定要进行以下操作:进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」
+ ^8 V K- _; n' t$ I0 p2 q, n: R D) B0 O& P! r% q# W* a
, j$ D( b- D( f
6 }' \4 y9 f) Y0 I2 J7 {6 C+ z% N$ h$ R6 f3 V! T# @
" q: }4 B! I8 U+ i1 e3 n8 V6 P: e0 M" t. G2 Q
来源:http://mp.weixin.qq.com/s?src=11×tamp=1574510402&ver=1992&signature=Tvxe-dv0Pli2WOy8jx6-Hw7rnv9HYpasycZdOiA27ix8cPjxnROs0K1kkvdUU-4qOv15U3svsKSNcI-QAj5BtJGG0rX5r4iFdLPgzGOu9EXoWlxVCaXxE1chtktOJjK2&new=19 I) [4 O8 i! ~- f3 y6 i- b
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?立即注册
×
|
/6 
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-11-23 20:40:29
