|
|
一、灰鸽子病毒事件
+ Z. H: Z: R/ p. g
! ]. P# Z# E) d5 G+ S, H) i/ H
`( G1 s6 Y8 E小白:东哥,我最近弄了个新鲜的东西,可以远程控制我家的家电,例如空调,电视,冰箱……
5 K* o5 B0 }6 M- [. l" S' F7 Z* D9 i3 r5 o/ ^4 z
! ^% y" T" ~. Z: z, |( R1 P大东:嗯,这个不错!
' {* I& O- c, r6 p7 K& ~ 7 w! o3 g/ x5 W$ ?+ F7 D) x9 Z
9 n; `2 Z6 ]+ h7 f" u手机远程控制空调。图片来源于网络
" O9 F3 L3 t: S
1 S. z( J* o* c/ ?2 ]. t1 f Q) X, }7 A7 O. a
小白: 是啊,最便捷的是有手机、有WIFI就可以实现远程控制功能。
& t$ G$ g/ \& [, M, W8 k4 T: @8 K6 t0 x$ W7 x; N. \$ A
1 E% E7 \6 a: d- K0 f9 t
大东:等一下,便捷中往往隐藏着“邪恶”,你可要小心灰鸽子病毒啊!" a6 \! C5 t: x! `
: x6 w4 D6 w# X/ ?. F: j# G; x2 `4 a$ f( O4 K% x" Q
小白:灰鸽子病毒?
$ H, u; ^" C! D* m& X$ U2 e8 J& J6 d; M+ [- P
0 K$ I8 h. S5 x
大东:是的。灰鸽子本身是一款远程控制软件,但是因为恶意使用,又被认为是一个集多种控制方法于一体的木马病毒,一旦用户电脑不幸感染,可以说用户的一举一动都在黑客的监控之下,要窃取账号、密码、照片、重要文件都轻而易举。# x' G1 ?. N0 r5 P" v
( y) C5 W+ v* C$ S0 Q' w
7 L4 d; a& E% P' S! L( o; H; F
小白:我的天啊,那我的隐私岂不是完全暴露在大家的面前了?!
& e$ X/ C8 f4 ^/ h6 [4 [, X/ \8 V, ~( K' d: A5 l
6 c4 z; c# q$ o+ L' h0 y大东:不仅如此,他们还可以连续捕获远程电脑屏幕,还能监控被控电脑上的摄像头,自动开机(不开显示器)并利用摄像头进行录像。
' @/ j( r/ \+ s/ ]8 G H) m3 T, y$ D. g) T" L8 g
9 e @3 i1 z, O/ ?1 o" e9 F' N小白:简直是太可怕了!假如我没洗头、没洗脸、穿着邋遢衣服的样子被拍了下来,上传到网上的话……
% c5 K1 t! R- V! z4 ^1 `
, g% y! O4 I2 r
7 q, x% ~0 n( S. R
1 H* s1 l' ?7 G1 T9 ^5 a5 {
' N* O, @% ~7 e# H' Q大东:emmmmm……你这个颜值估计上传了也没人看。我们言归正传,继续说灰鸽子的事。随着“灰鸽子2007”的发布,当年仅3月1日至13日,金山毒霸截获的灰鸽子变种数就达到521个。盗号、偷窥、敲诈以及骇人听闻的公开“叫卖”,危害更甚于熊猫烧香。
9 [( l9 S- [8 y, [1 |1 p# w1 S; D) s1 N, A0 R$ L7 u$ \, F
2 B E" G3 K3 A$ R7 f( J
小白:这群人简直太可恶了!; C) @2 N0 J3 x( R! L! ?: l* m
* F: z1 P0 T8 J2 Q
6 A# M5 f! ]) U3 S1 D# r大东:而且灰鸽子已不再是一个单纯的病毒,其背后是一条制造病毒、贩卖病毒、病毒培训为一体的黑色产业链,从某种意义上讲,灰鸽子的危害超出熊猫烧香10倍!
/ d) J* Z% v+ n, r 3 f, N/ P5 Y. V* Q: E$ Q
" a% X1 o- o) B5 s
灰鸽子产业链示意图。图片来源于网络
$ }6 U0 ^% h; ?" v8 I
) y' L. }9 u! {+ i m' r. ?# p! p小白:东哥,那我们就拿灰鸽子一点办法都没有吗?
' i$ Y& i% j! d. ?! A* g* a0 G3 _
& [; \9 i" w8 h. \( [$ ]& Z# j7 j
大东:灰鸽子虽然强大,但它并不是完美无缺的。让我为你解析一下这个难缠的病毒。
! L" z8 Z+ M8 ^6 i& m: ]
! U% j$ S" c% ^二、灰鸽子病毒发展史5 c. E5 ]9 k; c# r7 M
% @7 f( K8 I2 b. `4 U( p, C( d$ y0 F
大东:先来说说灰鸽子病毒的发展史吧。
) K7 B+ e$ m# C; I8 _# W* r7 z- a$ v. Z* o2 B4 y( l8 k5 ~; G' J0 Y5 p0 Z' o
! ?3 m0 ~7 T- c, K( J
小白:好呀,我最喜欢听历史了。3 n, j" P3 ?4 \
$ v( a) I' ?8 H! V
* a' X6 w4 {" g# _ L3 q' G; o
大东:灰鸽子病毒发展分三个时期:诞生期、模仿期、飞速发展期。; f K* Z# A$ i1 N
. V# x, h$ k* N/ G0 R- u
3 I2 ^0 B% q3 `3 u3 c% L小白:先说说诞生期吧。: E& s; C- F; Y9 R5 O+ z, `; ~
0 C- d- i: |6 o& p2 S% B0 G, @% N& [) `
大东:诞生期自2001年,灰鸽子诞生之日起,就被反病毒专业人士判定为最具危险性的后门程序,并引发安全领域的高度关注。2004年、2005年、2006年,灰鸽子木马连续三年被国内各大杀毒厂商评选为年度十大病毒,灰鸽子也因此声名大噪,逐步成为媒体以及网民关注的焦点。6 t/ d; Z. V4 v* ?4 z7 o6 }; l
' N& E- Z# T6 v' d% L0 u4 t& G/ T5 x9 R' ^0 v/ A
小白:最具危险性的后门程序,听上去很厉害嘛。2 r8 ?& o3 \& N
- S* _9 A5 W7 D. h! E' V
: W x% D9 e- O1 I7 {/ y# l# v$ U大东:模仿时期,灰鸽子最早出现的时候是在模仿“冰河”。它采用Delphi编写,采用了源码共享的方式出现在互联网。虽然“灰鸽子”在当时的名气不及“冰河”,但由于开放源码的方式让“灰鸽子”逐渐增大了传播量。0 U1 ] Y$ P' N! L3 U$ H+ W
, V$ |5 g1 c a, G' l3 Q! T5 {, B
0 a" @3 `1 g0 |" x& X" v) H; w小白:这么说来冰河是灰鸽子的“前辈”啦!那冰河也是远程控制软件吗? ~2 b2 N _5 V7 Q7 G6 |
0 F% G0 T2 G2 [
3 F1 Z+ t6 h9 ?8 V- c大东:是的。冰河的可怕之处在于自动跟踪目标机屏幕变化,同时可以完全模拟键盘及鼠标输入、记录各种口令信息。还包括获取系统信息,例如计算机名、注册公司、当前用户等多项系统数据。远程关机、远程重启计算机、锁定鼠标及锁定注册表等多项功能限制也是他的拿手强项。( r" f$ i. F0 D- A. J
n% k. ^1 c$ o2 b: l- V2 M
& Q" V( w( s% i" P# x/ K小白:说远了,该说灰鸽子病毒飞速发展时期了。
( y+ H6 O: n9 Q1 r8 P* T' X' h: d4 r* z- d- o! l5 {
& E0 P, L& Y8 |; l
大东:2004和2005这两年之间,灰鸽子逐步进入了成熟的状态,由于源码的释放,大量变种在互联网中衍生。2004年灰鸽子总共发现了1000多变种,而在2005年,这个数字迅速上升到了3000多。
9 ?2 h# f/ p2 a! \( L2 l/ d
3 _& P' y" w' @, F: @: J
+ \4 [: x C0 h7 A: d! r. Q: E小白:变种也太快了吧?!
( k( \2 w4 ~$ n% n! ^; C+ a9 J8 a' [' j8 v
) y& ^* N5 S9 [ n
大东:“灰鸽子”最大的危害在于潜伏在用户系统中,由于其使用的“反弹端口”原理,一些在局域网(企业网)中的用户也受到了“灰鸽子”的侵害,使得受害用户数大大提高。2004年的感染统计为103483人,而到2005年数字攀升到890321人。“灰鸽子”本身所具备的键盘记录、屏幕捕捉、文件上传下载和运行、摄像头控制等功能,将使用户没任何隐私可言,更可怕的是服务端高度隐藏自己,使受害者无从得知感染此病毒。$ k& s1 M2 G: R" a% n% T
$ J5 n9 z% [/ Y, ?! w( R
; I/ x! D" I" Q# l) k) g
小白:令人害怕!5 k+ x0 q3 B* M T
4 q; c0 ]) m# h. f2 t' P/ r三、灰鸽子病毒清除办法
5 |+ k( v( q. k) O# ^
; y! Q4 h0 [* r+ i' I% m" F3 X2 ?& j
大东: 但是利用一些检测方法就可以将灰鸽子揪出来。通过研究发现,无论自定义的服务器端文件名是什么,一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点,我们可以较为准确手工检测出灰鸽子服务端。
# O% w& D- N+ E& {' s. M! h0 W1 G! L; k- t
1 k# G; t/ V6 T5 U小白:那是把“_hook.dll”结尾的文件删掉就可以吗?6 j }# _! K& C
6 W G! q6 {1 r. B- C3 G4 |: s- F# r
大东:当然不是那么简单。由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模式下进行,而且要把Windows设置成显示所有文件。并打开Windows的“搜索文件”,文件名称输入“_hook.dll”,搜索位置选择Windows的安装目录(默认98/xp为C:\windows,2k/NT为C:\Winnt)。经过搜索,在Windows目录(不包含子目录)下发现了一个名为Game_Hook.dll的文件。
, f& l1 p3 a; f+ z8 k: k! E
3 k3 s2 k, m" r; O [! l6 ^! q. V6 @. t: k- V4 i* k" [
小白:这就是灰鸽子文件了吧!' w9 b3 y+ s+ z3 P1 Y9 R/ T
3 [9 f1 V3 o3 Y" c* f
+ d. ]0 \+ c/ i' x' |$ }
大东:还不能确定。如果Game_Hook.DLL是灰鸽子的文件,则在操作系统安装目录下还会有Game.exe和Game.dll文件。这才是真正的灰鸽子的服务端,不能“冤枉”好人啊!: J/ R2 j. n, ?+ _' p! d
8 c H( R" Y& F3 T
. p" M, S f. Q9 ]: U Q' uGame.exe和Game.dll。图片来源于网络 ; X9 K+ {; h2 W5 p0 N( }. M& L
, C Q! f. m1 W+ w) e, _* R* |5 T# b7 Z7 j' d! t
小白:原来是在这样。把这几个文件删除就可以和灰鸽子病毒say goodbye了吧!
$ c7 i% M3 W9 J9 ~/ G5 C% @& ~; H) z: V- s) Q
7 z, D G) X) T' L4 K! p# M7 G
大东:总共有两步,这只是其中的一步。首先清除灰鸽子的服务,注意一定要在注册表里完成。清除灰鸽子的服务一定要先备份注册表,或者到纯DOS下将注册表文件更名,然后再去注册表删除灰鸽子的服务。因为病毒会和EXE文件进行关联。
+ S; _1 X& N7 }( i# O9 @( A2 E0 e" O& u% s) r) Y& c
# I, C3 h6 k% c; U
小白:东哥,具体应该怎么做啊?教教我呗。
$ e7 } h# y s, H5 V1 x; e- n
5 n' |2 E9 ?5 D) _% l
7 y* ^* v$ O. q- U# H i大东:第一步打开注册表编辑器(点击“开始”- “运行”,输入“Regedit.exe”,确定。),打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。第二步点击菜单“编辑” “查找”—“查找目标”输入“game.exe”,点击确定,我们就可以找到灰鸽子的服务项(此例为Game_Server,每个人这个服务项名称是不同的)。第三步删除整个Game_Server项。; f6 }# s/ L+ H& b+ u, j8 I* @
. ^! A1 s% B) G, G" {# t, i" C, r% H/ i/ i' L7 X
查找game.exe。图片来源于网络 2 ]% u1 I' \7 K" y
3 x1 l9 |: d8 I7 O1 n! t& b$ X' n小白:这其中的第二步是不是就是我刚才说的删除Game.exe和Game.dll。$ ^- O, L' d3 w( e: E* L
* g2 G# T x7 w& X2 R/ Z, U8 }6 n$ \
大东:bingo!你只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件,然后重新启动计算机,就彻底告别灰鸽子病毒了。
; |+ J% d: `( P; W9 s
$ R5 N( M N8 a0 q- ]& h. N# G四、防范措施& {2 C w2 B* p# ?6 M( ?( Y% @. n
' |% {" B) p3 A' f- `! J" h小白:东哥,那该如何防范灰鸽子这类病毒呢?$ D: _0 p+ C) x2 i4 V
9 t# @3 d& M7 k+ K! P
% H% y4 L" Z& F5 h* |
大东:有些办法虽然有些原始,但总是最好用的。比如说给系统安装补丁程序。通过Windows Update安装好系统补丁程序(关键更新、安全更新和Service pack)。
% I& ]# g+ h8 H0 v% |, V+ m x0 v9 w
7 k `0 N5 G: z9 g u3 a小白:东哥,我们老说打补丁,补丁的专业解释是什么呀?我们为什么要定期打补丁呢?" Y. `8 _" c3 a% ?, P) v8 P
" D# T# E+ D9 X- c3 b/ ~& u# W% b7 z% `% Z
大东:补丁就是操作系统的不定期错误漏洞修复程序。一般在开发过程中,一开始有很多因素是没有考虑到的,但是随着时间的推移,存在的漏洞问题会慢慢被发现。这时候,为了对系统本身存在的漏洞问题进行修复,系统开发者会发布相应的补丁。黑客如果利用这些漏洞,就可以得到计算机的控制权。5 c: V3 n% o( Y
N) o3 Z& i5 c3 n0 W$ F0 r* i3 y- ~0 o! X4 y8 M
小白:东哥,还有类似的“原始”方法吗?, I8 c# y. Z2 |' ~; `
5 I3 s! ?, ]8 S& D2 {) f# H8 _. w; w! p- b
0 a0 I2 x( h: ^$ m: e
0 G% e) B1 y4 A8 s% X7 Z" h
大东:给系统管理员帐户设置足够复杂足够强壮的密码,最好能是10位以上,字母+数字+其它符号的组合;也可以禁用/删除一些不使用的帐户。如果记忆力够好,经常改变密码也是也是个不错的选择。
$ Y7 Q+ T& B1 G V8 p, o- F; k+ d2 A9 L% `3 B! `6 c
* x, V- h1 V. A7 w9 H& f小白:对,比如说我就经常换密码。
/ y4 z4 x# ?! V, f) O
0 Y8 u) h8 m$ Q% g
: L+ a+ x& C- p/ K2 \& F& C大东:哎,不过你也总是忘记密码。不过单纯地讲,换密码这个习惯还是不错的。7 S. ?# m2 W( V' K/ }' J& Q" n9 e
. k# N" ^. E- @: N+ ^ B) Z( |2 Z" o
/ d& _$ ~' }/ i/ |6 A7 M3 ^) \
小白:东哥,你总揭我老底,就不能给我留点面子嘛?
1 B5 R: I9 v: J
$ d7 }0 s8 z5 m3 [/ {& V0 P' @8 s# r% M6 _8 l9 y9 p1 l
大东:(装作听不见的样子) 嗯,我们继续说防范的方法。经常更新杀毒软件(病毒库),安装并合理使用网络防火墙软件是十分必要的。网络防火墙在防病毒过程中起到至关重要的作用,能有效地阻挡自来网络的攻击和病毒的入侵。
( w, N6 J3 ~2 A. S
! b( @2 T# k( [6 w- h) f8 S' U3 J! G4 W" x0 N0 l% F
小白:东哥,还有吗?) m, m) S$ r$ \' Q& u
! j, T3 f6 r3 j/ p" ]8 Q/ }
5 m7 S ?' f+ D# N0 u+ h大东:关闭一些不需要的服务,条件允许的话可以关闭没有必要的共享,也包括C$、D$等管理共享。完全单机的用户可直接关闭Server服务。
. s! U, |/ @8 y
. a6 l- D* D& u! ]
# [0 ]6 n* \7 c7 r3 \) W; S小白:懂了。东哥,通过你刚才的讲解,我回忆起来了许多东西。& M) R/ l7 Z. ?8 h' \. X
+ D2 z8 [/ D0 x3 J+ ]
4 [' F1 t( |8 d% S* g大东:温故而知新嘛! a1 ^/ J. a( V2 |* p3 H/ |
+ E7 i8 v/ C2 J. C# x! a: t& N7 `5 z- k" Q9 F: P9 f5 K
来源:中国科学院计算技术研究所: Q4 B: Y& B( s
' F0 M( Z/ e% C- C1 W
( u. i. C! \7 ^温馨提示:近期,微信公众号信息流改版。每个用户可以设置 常读订阅号,这些订阅号将以大卡片的形式展示。因此,如果不想错过“中科院之声”的文章,你一定要进行以下操作:进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」
$ b6 I8 i7 {3 x$ S% A2 N* E Q* Z( Z" ?9 Q' j4 _
9 l3 @4 n7 j4 K! ^1 y& c1 h0 v
' a) u3 a7 O5 @5 L8 y# t
# D8 ^5 n( Z2 m
0 F- l0 w, H3 V0 }
0 V$ a- _( l1 _来源:http://mp.weixin.qq.com/s?src=11×tamp=1574510402&ver=1992&signature=Tvxe-dv0Pli2WOy8jx6-Hw7rnv9HYpasycZdOiA27ix8cPjxnROs0K1kkvdUU-4qOv15U3svsKSNcI-QAj5BtJGG0rX5r4iFdLPgzGOu9EXoWlxVCaXxE1chtktOJjK2&new=1
) w+ X7 A8 e' B; @7 T) `+ @2 G免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?立即注册
×
|
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-11-23 20:40:29
