一、灰鸽子病毒事件3 m, ~4 [) ~' {) x4 I8 E$ E- p) M
# Y. [4 Q3 Y5 Z3 n! S2 P1 [4 J
: D1 }2 V" E* k9 B9 c! H+ E
小白:东哥,我最近弄了个新鲜的东西,可以远程控制我家的家电,例如空调,电视,冰箱……& p( S1 x+ `2 {( Z$ J
" I* Q4 i4 t6 A! H% D& [1 G, G$ c8 h
- e+ @4 I3 w3 k' g& r2 X大东:嗯,这个不错!9 a5 w, |3 X3 e" R
# B1 P. C2 V& R: U
1 X6 C* i/ [* q$ F- L3 _手机远程控制空调。图片来源于网络 d: l; K# Y; g6 T! B
0 ?6 U8 u' \/ J* r, A9 H; p- ~3 b0 l5 A; D8 o" q- h
小白: 是啊,最便捷的是有手机、有WIFI就可以实现远程控制功能。
( b' Y1 ?# n( q6 @, v) J# Z" c( X8 q
8 H% a% l& S8 b& r( r+ x1 |+ _6 i. @, L# Y. r; [, a# ]- E
大东:等一下,便捷中往往隐藏着“邪恶”,你可要小心灰鸽子病毒啊!
4 E% k5 x4 X8 S u$ [1 k1 z( _: V8 c8 Z6 e: _0 L1 b
?( g% k$ q! m5 Z2 r. E: m小白:灰鸽子病毒?! f' c# Y1 R5 Y( w! b
" _9 E0 e& j, j# k' C" u5 Y. r
) j7 W$ q1 z3 x" x
大东:是的。灰鸽子本身是一款远程控制软件,但是因为恶意使用,又被认为是一个集多种控制方法于一体的木马病毒,一旦用户电脑不幸感染,可以说用户的一举一动都在黑客的监控之下,要窃取账号、密码、照片、重要文件都轻而易举。
: P$ x3 a/ `& l, y5 [$ @& d, g, T4 t/ a! s0 {
% w. g& ?/ b1 J0 h$ D( m; B
小白:我的天啊,那我的隐私岂不是完全暴露在大家的面前了?!
+ h& C, m7 Z- e* r) v
0 g: ?% Z6 c* Y/ a: o$ O8 l( {4 e$ G" L! h, V J* W
大东:不仅如此,他们还可以连续捕获远程电脑屏幕,还能监控被控电脑上的摄像头,自动开机(不开显示器)并利用摄像头进行录像。
$ Y: @3 a6 h1 U5 [# L0 _/ t- S. R9 e! p6 V8 w7 y
5 C- L, z1 p( o0 t# F5 U2 H小白:简直是太可怕了!假如我没洗头、没洗脸、穿着邋遢衣服的样子被拍了下来,上传到网上的话……* B8 u( ~( c1 c2 C$ O: {, F
2 {9 R" |) S5 E5 j6 u' ?/ }8 A
: B5 C$ S; X( b8 n* {- s+ \
/ S8 c; S) y& p$ @6 c7 T- g
) A/ {' ^! | x+ g; ]" C大东:emmmmm……你这个颜值估计上传了也没人看。我们言归正传,继续说灰鸽子的事。随着“灰鸽子2007”的发布,当年仅3月1日至13日,金山毒霸截获的灰鸽子变种数就达到521个。盗号、偷窥、敲诈以及骇人听闻的公开“叫卖”,危害更甚于熊猫烧香。1 [& X) ~, t: [4 I. s2 g3 l
+ ]4 h, `% V$ [ ]4 U) p3 ]
( }. @9 j% F& V/ p D4 g小白:这群人简直太可恶了!
) h, G7 e; [, ^& c0 Z( V
9 _& \1 M: k0 @1 _1 p+ r& J1 m. W1 n$ {; ~& r6 ]* U: |
大东:而且灰鸽子已不再是一个单纯的病毒,其背后是一条制造病毒、贩卖病毒、病毒培训为一体的黑色产业链,从某种意义上讲,灰鸽子的危害超出熊猫烧香10倍! ) q* A" p% H" n; G( S8 o, G
. R3 O1 @0 p5 R& H/ ]
5 f$ P+ i: b+ B/ z* t* m! F灰鸽子产业链示意图。图片来源于网络
. s0 }! a. U- Z6 j8 H- b7 x; L! ?
0 V |7 o& f% v9 K小白:东哥,那我们就拿灰鸽子一点办法都没有吗?
2 W3 [2 {+ W: p6 V/ q) f. i' B2 E
. _9 K+ d! ?8 |1 U: v( N: o2 D
. |2 ?" h" o. |& f9 [0 K' J- Q' Q. V% \大东:灰鸽子虽然强大,但它并不是完美无缺的。让我为你解析一下这个难缠的病毒。5 X5 _& r9 q- W6 p) _# ~0 _# ?$ x
) x6 ~: [4 b5 u9 \* v7 |8 f二、灰鸽子病毒发展史
I- Y1 X( o! n; y! J7 K2 L& F) B, @) a) m0 V4 R6 \
; t- X C( w1 R/ b, A+ D大东:先来说说灰鸽子病毒的发展史吧。
: L2 W% D8 ^0 Z6 X z9 z4 m7 i( q
$ H2 x$ o0 P9 j) D
: S, k4 E1 ?2 r* h小白:好呀,我最喜欢听历史了。
6 E @) e$ P# J% ^; U
7 `% } m' ?' _+ T$ ~$ `
" ~- h' D9 f. M; M4 G; B$ O A大东:灰鸽子病毒发展分三个时期:诞生期、模仿期、飞速发展期。* u( j* L. R/ @( g0 M+ t! c7 E1 K& Y
! U3 a9 Y" ?& ]+ T
7 Q7 Z3 O; I1 A% Y7 D3 v5 ?+ u" M小白:先说说诞生期吧。
) u' O. C3 L1 X2 F6 W/ s7 N2 m" R, ?9 a( h
0 ^' D6 X5 k [( \7 n/ F' I0 i1 Z. D
大东:诞生期自2001年,灰鸽子诞生之日起,就被反病毒专业人士判定为最具危险性的后门程序,并引发安全领域的高度关注。2004年、2005年、2006年,灰鸽子木马连续三年被国内各大杀毒厂商评选为年度十大病毒,灰鸽子也因此声名大噪,逐步成为媒体以及网民关注的焦点。
% i* R" V( j/ V' } h" s2 t
3 _7 y% t/ L) @% t6 g+ l+ ^0 Y+ Z9 s2 a
小白:最具危险性的后门程序,听上去很厉害嘛。
0 O5 i! j$ k* u7 Z) ?9 G
1 x( q8 S2 { Q; ]$ z+ j; G; z, n" Y3 P
大东:模仿时期,灰鸽子最早出现的时候是在模仿“冰河”。它采用Delphi编写,采用了源码共享的方式出现在互联网。虽然“灰鸽子”在当时的名气不及“冰河”,但由于开放源码的方式让“灰鸽子”逐渐增大了传播量。
X5 v' b0 B9 P7 n- ?" u
* s$ P8 t% ~1 F O' C+ d s W
小白:这么说来冰河是灰鸽子的“前辈”啦!那冰河也是远程控制软件吗?
3 j. a* X2 [1 p% X& K8 Y5 Z
4 D6 j/ F+ M+ d/ a; J; \* J+ w7 w
1 x" O/ o7 g0 r% H% N大东:是的。冰河的可怕之处在于自动跟踪目标机屏幕变化,同时可以完全模拟键盘及鼠标输入、记录各种口令信息。还包括获取系统信息,例如计算机名、注册公司、当前用户等多项系统数据。远程关机、远程重启计算机、锁定鼠标及锁定注册表等多项功能限制也是他的拿手强项。
9 O! F, m& _- P1 M) _( p
6 w- }# Q" |" m* h8 A* G q
7 N! \" K/ L$ O2 d小白:说远了,该说灰鸽子病毒飞速发展时期了。. j5 @8 _2 x6 K# H: B, b
7 i6 P. _7 C& m) ^ v5 t" t$ U/ M7 C) \, ~9 P% m% [
大东:2004和2005这两年之间,灰鸽子逐步进入了成熟的状态,由于源码的释放,大量变种在互联网中衍生。2004年灰鸽子总共发现了1000多变种,而在2005年,这个数字迅速上升到了3000多。, ^6 ^& f# i+ c/ r' g9 ?& F% r
9 x* f: B4 s, e8 `
1 x2 m" n5 \" a9 I- S& s小白:变种也太快了吧?!" Z# f8 ]/ D, m! g6 O& ?/ g, @7 A4 T
0 k$ E$ a! Y6 u5 u+ U6 a0 b2 a+ p3 _* l& V* m/ q( u9 {$ u. `0 H, N+ B
大东:“灰鸽子”最大的危害在于潜伏在用户系统中,由于其使用的“反弹端口”原理,一些在局域网(企业网)中的用户也受到了“灰鸽子”的侵害,使得受害用户数大大提高。2004年的感染统计为103483人,而到2005年数字攀升到890321人。“灰鸽子”本身所具备的键盘记录、屏幕捕捉、文件上传下载和运行、摄像头控制等功能,将使用户没任何隐私可言,更可怕的是服务端高度隐藏自己,使受害者无从得知感染此病毒。
* Q+ K% {' w6 S/ h6 r' o
8 p" S9 c0 C6 p- U
9 F$ {* h* V' o* P$ b小白:令人害怕!
" o; _7 m. ?5 c" w
+ v. d; J7 V3 Z* T# I# q* B# I/ V三、灰鸽子病毒清除办法
& r% W8 s' I0 n' W$ |9 P
5 \& \* S( e/ ~/ [" ^) Y" \5 m S+ X" V6 @& t T9 R' k
大东: 但是利用一些检测方法就可以将灰鸽子揪出来。通过研究发现,无论自定义的服务器端文件名是什么,一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点,我们可以较为准确手工检测出灰鸽子服务端。
3 y6 Z7 O1 N* O
+ b4 O- v) J2 a1 d) F# b) T4 R
* C5 |6 n9 V$ d9 F. {( p: ~小白:那是把“_hook.dll”结尾的文件删掉就可以吗?
) L3 R0 P9 a6 @9 V; p8 i+ B+ Q, t! }1 D+ _& a$ @* C- j
% i6 o, ]2 ]# M+ a# B3 n大东:当然不是那么简单。由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模式下进行,而且要把Windows设置成显示所有文件。并打开Windows的“搜索文件”,文件名称输入“_hook.dll”,搜索位置选择Windows的安装目录(默认98/xp为C:\windows,2k/NT为C:\Winnt)。经过搜索,在Windows目录(不包含子目录)下发现了一个名为Game_Hook.dll的文件。
% L ]- _6 ?: ^, ^! a. Z7 e" v- B0 H+ F& u' v i
L. d# L4 G+ z: H& v0 s* l
小白:这就是灰鸽子文件了吧!
; Z, t. J' d4 W
+ k' M4 h; ` m, e3 b; o2 P- G& N$ w1 U6 j+ ~9 _- I0 o9 Z4 D
大东:还不能确定。如果Game_Hook.DLL是灰鸽子的文件,则在操作系统安装目录下还会有Game.exe和Game.dll文件。这才是真正的灰鸽子的服务端,不能“冤枉”好人啊!* m' O) W8 O* J9 a# [- U% k3 T
: Y5 x$ i/ l8 ]5 a% M) a0 k; O/ I A, M. a+ S$ P" o
Game.exe和Game.dll。图片来源于网络
1 z- g/ a! s8 \; H# ]$ X8 s6 _* U; w' Y8 u6 C/ x+ L
) E. a8 r2 i$ H% L! i* D
小白:原来是在这样。把这几个文件删除就可以和灰鸽子病毒say goodbye了吧!4 X, e: T0 d/ Y8 y, D' N
, I, a% o8 b( R; Q
" E! I' r0 m i7 J$ o+ `$ i' B
大东:总共有两步,这只是其中的一步。首先清除灰鸽子的服务,注意一定要在注册表里完成。清除灰鸽子的服务一定要先备份注册表,或者到纯DOS下将注册表文件更名,然后再去注册表删除灰鸽子的服务。因为病毒会和EXE文件进行关联。
" Q3 j, S- i A" G
* c4 m" f" K0 u/ D! d0 h* U0 R W2 O' r% A2 f
小白:东哥,具体应该怎么做啊?教教我呗。
( v& S; B c3 H. }
: M: w, M2 L- S5 P% Q9 D( W" ?/ }4 j' C# s2 Z
大东:第一步打开注册表编辑器(点击“开始”- “运行”,输入“Regedit.exe”,确定。),打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。第二步点击菜单“编辑” “查找”—“查找目标”输入“game.exe”,点击确定,我们就可以找到灰鸽子的服务项(此例为Game_Server,每个人这个服务项名称是不同的)。第三步删除整个Game_Server项。
) v) z; |# t# o8 ^ [ u) D# Q ) v& u6 U/ m. P2 f3 q z
+ Y8 @- i0 E% _
查找game.exe。图片来源于网络 ! I4 \9 C# X+ I0 W
7 ~& e" ~ |7 C3 M6 X小白:这其中的第二步是不是就是我刚才说的删除Game.exe和Game.dll。7 U) ?) `( h" K. u7 A Y
6 a) h- i1 s0 a5 K# i# M$ {. b
# b4 t9 d0 h! `大东:bingo!你只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件,然后重新启动计算机,就彻底告别灰鸽子病毒了。
& C( e/ `3 x8 O: j 6 [' {; v8 u; I& v$ c
四、防范措施
8 \# c2 W, I% H/ o( J/ d
& ?/ C# u* h( Y. {/ x1 d+ T小白:东哥,那该如何防范灰鸽子这类病毒呢?
# g; v5 u; ?! E5 |* _' v$ z* c% ?
4 U* z2 \' D) {' u5 _8 _" j; V7 T! ]
大东:有些办法虽然有些原始,但总是最好用的。比如说给系统安装补丁程序。通过Windows Update安装好系统补丁程序(关键更新、安全更新和Service pack)。( V% L9 Q6 y5 d6 m8 C
% t1 T1 k% c* Q# A. h2 Z, {' u9 s8 h$ M6 n2 d% b* Y
小白:东哥,我们老说打补丁,补丁的专业解释是什么呀?我们为什么要定期打补丁呢?
3 a. T# X: q5 l/ T- A2 i; @% B! Q7 }
U/ m) q6 m+ [; q6 D. {" O大东:补丁就是操作系统的不定期错误漏洞修复程序。一般在开发过程中,一开始有很多因素是没有考虑到的,但是随着时间的推移,存在的漏洞问题会慢慢被发现。这时候,为了对系统本身存在的漏洞问题进行修复,系统开发者会发布相应的补丁。黑客如果利用这些漏洞,就可以得到计算机的控制权。' A; v! u, U; f4 n, i% P: u
2 e6 v0 H5 O- }! D9 s0 r# a1 B& w3 g s; {. W9 P
小白:东哥,还有类似的“原始”方法吗?1 O% u ~, h& s" o. c s" T
$ K5 }4 i. a: W6 J# { _- B) {; I6 K0 j6 Z5 f. ~
+ R# A/ a( L2 I: W' I: Z2 Q% t) V
1 S4 L/ F$ j$ l大东:给系统管理员帐户设置足够复杂足够强壮的密码,最好能是10位以上,字母+数字+其它符号的组合;也可以禁用/删除一些不使用的帐户。如果记忆力够好,经常改变密码也是也是个不错的选择。& C. W2 K* G2 G1 r: e8 n
4 S! I* F! u7 Z3 _
3 m* M- S7 A% C1 ~5 T. ~4 s小白:对,比如说我就经常换密码。
5 _/ y3 h$ o9 }7 }3 c$ ]9 J. T/ H2 x; v
; I; \+ e/ w q" K2 r3 v i
大东:哎,不过你也总是忘记密码。不过单纯地讲,换密码这个习惯还是不错的。$ Z; Y% K- b" H/ z5 @, Z3 `
- j+ g& M6 @0 g# K3 \: a
' L, e, z0 ?% P9 q" {& {
小白:东哥,你总揭我老底,就不能给我留点面子嘛?
- e& n8 k: K' x' L6 B1 ~& n9 {8 W5 k. e" N
: G) P0 _+ f7 a5 r. ~
大东:(装作听不见的样子) 嗯,我们继续说防范的方法。经常更新杀毒软件(病毒库),安装并合理使用网络防火墙软件是十分必要的。网络防火墙在防病毒过程中起到至关重要的作用,能有效地阻挡自来网络的攻击和病毒的入侵。/ w4 |( b( Y4 O9 i) Y5 q: _+ S
+ s# X1 ?( i6 ?2 u/ f& I) S
B* z: e4 F9 Y/ t* t2 o小白:东哥,还有吗?
2 U# _# W. F* j+ C, a/ f1 i* }8 r' G/ i% [1 x
' p5 n2 X6 |5 Q/ q
大东:关闭一些不需要的服务,条件允许的话可以关闭没有必要的共享,也包括C$、D$等管理共享。完全单机的用户可直接关闭Server服务。5 j( L# e) S3 l" z% ^
: m. [2 k$ V9 e- ~# b
% y$ x; o& U3 }1 x( t- n小白:懂了。东哥,通过你刚才的讲解,我回忆起来了许多东西。3 x% G" }7 p. F* O1 H6 t a
k* P" ^$ m: ^, d
" k5 O1 w- v" C8 S# s; R
大东:温故而知新嘛!9 x5 x3 p3 @0 x3 o) @8 Q2 x
- ^* s; f- F N8 f! [0 f" A8 x, N4 R. W: ~, f+ L) y+ W/ }% j: s% b
来源:中国科学院计算技术研究所% Z' C7 p/ p0 P, J! f8 U
0 ^9 D3 j' m3 u$ `/ a
% p4 M% s* T6 X" j( o& b温馨提示:近期,微信公众号信息流改版。每个用户可以设置 常读订阅号,这些订阅号将以大卡片的形式展示。因此,如果不想错过“中科院之声”的文章,你一定要进行以下操作:进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」
- I( p1 Q2 W* R0 p# G/ C0 ^+ L; R8 C- X7 ]7 S a+ z
3 [4 U1 [3 f; [$ }6 \
) D$ O# n' Q- e' n, [2 O3 Q3 u8 Q7 |9 h( z X5 a% h5 ^
 . g6 u$ `6 y" g. X& G' q( J
! @. ]9 \( ]/ x$ b' ~来源:http://mp.weixin.qq.com/s?src=11×tamp=1574510402&ver=1992&signature=Tvxe-dv0Pli2WOy8jx6-Hw7rnv9HYpasycZdOiA27ix8cPjxnROs0K1kkvdUU-4qOv15U3svsKSNcI-QAj5BtJGG0rX5r4iFdLPgzGOu9EXoWlxVCaXxE1chtktOJjK2&new=1
# g: X$ s0 P e- F+ G. d免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
/6 
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )
发表于 2019-11-23 20:40:29
