|
|
一、灰鸽子病毒事件6 {& X7 X8 Q/ c6 v% }; f k, {$ b
6 ^% M) N2 u4 u6 C) F+ P+ s o) H" ]. G+ C! B4 |
小白:东哥,我最近弄了个新鲜的东西,可以远程控制我家的家电,例如空调,电视,冰箱……
H+ l' w' d. ?0 k" v! ~/ Y1 A z* i' q
' E+ x' [' R# V+ p* N" g& k1 t
大东:嗯,这个不错!
% i0 s# l* u9 L: [4 E1 Q 8 l0 P$ R; f# s. `% P
8 n0 \8 ^ e& y; V8 I+ L
手机远程控制空调。图片来源于网络 & c) @# ^, ? z
* L4 v( t( N$ i
' A9 b. ]- v/ h% v* |! s小白: 是啊,最便捷的是有手机、有WIFI就可以实现远程控制功能。; ^( T. _- q: L1 B0 f3 o* I
: y9 x r& P. ] X- e9 ?
% ~" g% y8 |' T" x2 |8 Z- H4 [大东:等一下,便捷中往往隐藏着“邪恶”,你可要小心灰鸽子病毒啊!5 s# i0 e7 z% }4 n# o5 c* s. T) O
0 r* I$ T2 K1 ]8 v
$ N" ^8 `" K+ _. w小白:灰鸽子病毒?+ i1 |$ }$ a& W. e; H+ n3 x
5 n+ \+ p$ H6 C9 ^* L1 d ]6 l1 F$ @
大东:是的。灰鸽子本身是一款远程控制软件,但是因为恶意使用,又被认为是一个集多种控制方法于一体的木马病毒,一旦用户电脑不幸感染,可以说用户的一举一动都在黑客的监控之下,要窃取账号、密码、照片、重要文件都轻而易举。
. I! f$ [" y9 j0 R) _; z
* Z* j, P0 K, u) a; I
( |( K& a+ Q% G0 N/ f/ l& E" q小白:我的天啊,那我的隐私岂不是完全暴露在大家的面前了?!
; K# @3 }2 B2 r* B# o9 D
1 M2 t1 F0 M0 |4 Q2 O
2 v& j a; p* {) Z& \大东:不仅如此,他们还可以连续捕获远程电脑屏幕,还能监控被控电脑上的摄像头,自动开机(不开显示器)并利用摄像头进行录像。
4 b6 K+ n/ W! j/ L4 H; ^
s2 G$ g& y G. s5 ~6 k) i9 Z( a' F/ P$ O5 z8 K
小白:简直是太可怕了!假如我没洗头、没洗脸、穿着邋遢衣服的样子被拍了下来,上传到网上的话……
9 W4 B" p% A6 R% G: Q0 H% p( w u
8 y! S) R) W4 m. j6 V6 Q7 a
) b# r4 y- c. H; q- D; @: I
! W! {& {3 G3 X/ Q
$ O2 Y2 U q/ V. A9 |% r' |; N) b大东:emmmmm……你这个颜值估计上传了也没人看。我们言归正传,继续说灰鸽子的事。随着“灰鸽子2007”的发布,当年仅3月1日至13日,金山毒霸截获的灰鸽子变种数就达到521个。盗号、偷窥、敲诈以及骇人听闻的公开“叫卖”,危害更甚于熊猫烧香。7 A r& @: {/ P; u' T
% {0 n( y& a$ q0 k+ T
3 ~4 x/ t# S7 y% b, _* c小白:这群人简直太可恶了!* X0 E( j; b6 m$ I6 {& u
/ r. M. T4 E0 L1 H* C) r* Y- `7 A
大东:而且灰鸽子已不再是一个单纯的病毒,其背后是一条制造病毒、贩卖病毒、病毒培训为一体的黑色产业链,从某种意义上讲,灰鸽子的危害超出熊猫烧香10倍! 9 a! Z% ~. t6 A. }% f7 I7 R! `
. S- k9 n I4 F
- E8 S/ J" M5 P" b( D# W9 ]
灰鸽子产业链示意图。图片来源于网络 6 O6 C6 o- Q" S* L) T \8 F+ N$ k( A
! Z6 J. T5 m. a* O/ d4 Q- T/ U
小白:东哥,那我们就拿灰鸽子一点办法都没有吗?
" E* r( \( O- I1 ?
1 `. j4 N- J4 u) r! u, D8 R6 u: y$ A( u$ M
大东:灰鸽子虽然强大,但它并不是完美无缺的。让我为你解析一下这个难缠的病毒。
" b9 k3 o7 F% O- i) k% s3 r! k
8 c- j6 ]- ~% X! Q, n2 u二、灰鸽子病毒发展史, g/ N8 L- ^$ a& f# @
& p! H y* {5 E, R3 y1 b& p$ \5 } ^( g$ P- Z- ?$ I' P
大东:先来说说灰鸽子病毒的发展史吧。
! Q5 n& q2 W6 z2 ^6 }
) R7 A/ b& ~" Z$ U1 C) W. z
2 k3 O3 W6 k1 |* a' ^0 a小白:好呀,我最喜欢听历史了。7 v* J* D8 X3 C
" D9 F/ \* f9 A6 W4 n
, |; I! A/ @3 L' Q大东:灰鸽子病毒发展分三个时期:诞生期、模仿期、飞速发展期。+ @: h0 {7 M- E. u, z# H
+ ~9 a# D0 l$ r T8 g+ ^$ T& N" `6 y# _
小白:先说说诞生期吧。
4 T2 R' k- w0 K# V$ S/ l+ }
& V- o& _3 Y6 ]5 K; V* ^: q3 r# ^3 C
大东:诞生期自2001年,灰鸽子诞生之日起,就被反病毒专业人士判定为最具危险性的后门程序,并引发安全领域的高度关注。2004年、2005年、2006年,灰鸽子木马连续三年被国内各大杀毒厂商评选为年度十大病毒,灰鸽子也因此声名大噪,逐步成为媒体以及网民关注的焦点。 e0 O) D0 n9 V
6 }+ D. s, V- v" m9 r9 ^! \& O5 w# C2 D' E8 P7 R* Y0 J9 d+ _- A
小白:最具危险性的后门程序,听上去很厉害嘛。
9 k0 O6 i( c% P {
P( B# \# } G6 A
* S3 }5 E1 f, r- R6 Y& V大东:模仿时期,灰鸽子最早出现的时候是在模仿“冰河”。它采用Delphi编写,采用了源码共享的方式出现在互联网。虽然“灰鸽子”在当时的名气不及“冰河”,但由于开放源码的方式让“灰鸽子”逐渐增大了传播量。
$ b% [& |& {# k2 p9 I3 e) P# ~8 m+ P
8 D2 }7 _, C% Z2 E6 x. U' e0 J
小白:这么说来冰河是灰鸽子的“前辈”啦!那冰河也是远程控制软件吗?
: K7 t$ ^$ J: ?( h, m& P5 T, h% a4 v6 `
9 @0 ?7 s# s4 i/ J大东:是的。冰河的可怕之处在于自动跟踪目标机屏幕变化,同时可以完全模拟键盘及鼠标输入、记录各种口令信息。还包括获取系统信息,例如计算机名、注册公司、当前用户等多项系统数据。远程关机、远程重启计算机、锁定鼠标及锁定注册表等多项功能限制也是他的拿手强项。
1 S( a, M4 i: J
- n- p3 m3 l: N) ]2 A# m$ Z3 h
; z2 M. f+ a! i8 |4 l; H# }4 T小白:说远了,该说灰鸽子病毒飞速发展时期了。8 O# [1 \5 V$ Q+ e. Q
: e' j' e2 I8 D8 a) g+ z4 g6 I9 B; @8 F& |" Q
大东:2004和2005这两年之间,灰鸽子逐步进入了成熟的状态,由于源码的释放,大量变种在互联网中衍生。2004年灰鸽子总共发现了1000多变种,而在2005年,这个数字迅速上升到了3000多。
0 N( b0 H' q/ B8 T" k3 s
+ B6 C4 d/ X0 t) k
! l4 {0 M/ L. V* o! z8 }* T1 m小白:变种也太快了吧?!
j8 P" M5 ?% \& |" K) r R: P" \) Z. A/ H4 m
; e: I$ E. O/ G; ]- z5 Q7 p1 e( b
大东:“灰鸽子”最大的危害在于潜伏在用户系统中,由于其使用的“反弹端口”原理,一些在局域网(企业网)中的用户也受到了“灰鸽子”的侵害,使得受害用户数大大提高。2004年的感染统计为103483人,而到2005年数字攀升到890321人。“灰鸽子”本身所具备的键盘记录、屏幕捕捉、文件上传下载和运行、摄像头控制等功能,将使用户没任何隐私可言,更可怕的是服务端高度隐藏自己,使受害者无从得知感染此病毒。7 i2 B' B/ @/ ?1 ?) y* l- V
6 x$ ? j# _& I) m5 a$ C
% s4 [% n1 v" {3 ^ Y9 {+ L小白:令人害怕!5 ]/ z- Q' B3 p5 p; N
5 E! B/ H5 |. ^4 ` g三、灰鸽子病毒清除办法
0 e1 {( V! p# L: t$ S* y1 ^
% N5 O0 \7 A5 g% `) ]$ U7 J
4 K: }1 Z; ]- H( `( \! Q2 }7 G. S$ ?大东: 但是利用一些检测方法就可以将灰鸽子揪出来。通过研究发现,无论自定义的服务器端文件名是什么,一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点,我们可以较为准确手工检测出灰鸽子服务端。6 `6 |7 f( E& K& Y
* a2 b4 U0 b) `. Q( H
/ I4 ~% |" @5 E! S, O4 N
小白:那是把“_hook.dll”结尾的文件删掉就可以吗?
$ L) z8 G4 y; G9 t
& L3 {- |8 R; c z" y) m6 X
/ ?/ U; ?9 \; ]" K4 O大东:当然不是那么简单。由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模式下进行,而且要把Windows设置成显示所有文件。并打开Windows的“搜索文件”,文件名称输入“_hook.dll”,搜索位置选择Windows的安装目录(默认98/xp为C:\windows,2k/NT为C:\Winnt)。经过搜索,在Windows目录(不包含子目录)下发现了一个名为Game_Hook.dll的文件。
% G) A( V. r; L4 z/ m3 x9 Y' Z1 L8 w3 f1 j
4 ^9 [2 p4 h: c( W! m0 ^小白:这就是灰鸽子文件了吧!' ^6 I. i& @5 V4 o
% I8 t2 z; ?* C- P: [
9 v. M9 r+ {8 F& p6 Q; t
大东:还不能确定。如果Game_Hook.DLL是灰鸽子的文件,则在操作系统安装目录下还会有Game.exe和Game.dll文件。这才是真正的灰鸽子的服务端,不能“冤枉”好人啊!' P. l' m5 Y* G8 |1 f+ S6 f
- e4 X7 f% m; }4 @0 `4 \
b2 ^$ Q& l3 J# h4 \# ?Game.exe和Game.dll。图片来源于网络 : k# k0 P$ O) j5 N
3 g) f/ d% b$ J# ]3 M8 O' o
5 N# z) `& d; v2 q/ q小白:原来是在这样。把这几个文件删除就可以和灰鸽子病毒say goodbye了吧!3 e4 A9 H# {+ c( E' x/ {
. u, ^. W3 ~8 V7 t0 U$ S
: }5 N ~3 a8 P$ n, [/ B大东:总共有两步,这只是其中的一步。首先清除灰鸽子的服务,注意一定要在注册表里完成。清除灰鸽子的服务一定要先备份注册表,或者到纯DOS下将注册表文件更名,然后再去注册表删除灰鸽子的服务。因为病毒会和EXE文件进行关联。: D9 D% _0 p d1 J2 P+ v/ Z
. q6 |. ?2 Y* W
/ G# a; U7 J& t/ @4 s5 c小白:东哥,具体应该怎么做啊?教教我呗。" g7 ?* E4 w; S/ `3 {
; Q, f: i8 f- m# ]1 c% V& R/ P& ^. S# E/ z. {& k
大东:第一步打开注册表编辑器(点击“开始”- “运行”,输入“Regedit.exe”,确定。),打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。第二步点击菜单“编辑” “查找”—“查找目标”输入“game.exe”,点击确定,我们就可以找到灰鸽子的服务项(此例为Game_Server,每个人这个服务项名称是不同的)。第三步删除整个Game_Server项。
9 M; f |/ F4 z; f. G, H. F3 g& p 5 j3 C% j' B$ s
8 u) K @/ J% p) t7 t
查找game.exe。图片来源于网络
% a* T+ X5 \) q9 u. A$ W- K1 E+ ?$ q" O
小白:这其中的第二步是不是就是我刚才说的删除Game.exe和Game.dll。7 s4 |- F5 T- J0 } V7 u
0 ~. \- H4 i% S
4 q9 B. Z& N H7 S8 e大东:bingo!你只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件,然后重新启动计算机,就彻底告别灰鸽子病毒了。( C/ s2 V3 H, H& \4 c( z
2 U! r! a9 T( ` L四、防范措施
3 g: n, s$ m, F3 a7 `5 @: a* Z: h' X5 I# ^ @' K
小白:东哥,那该如何防范灰鸽子这类病毒呢?- Z. a, x$ c- ~- O
1 W: n0 L2 S- j) Y* B$ `
9 S' w# h( o. W8 A, n0 m, m大东:有些办法虽然有些原始,但总是最好用的。比如说给系统安装补丁程序。通过Windows Update安装好系统补丁程序(关键更新、安全更新和Service pack)。9 H0 P$ P: G% o5 j2 d1 V7 t
; a9 A. o8 t5 X
0 p5 l* ?5 [9 w5 H2 b7 `- a小白:东哥,我们老说打补丁,补丁的专业解释是什么呀?我们为什么要定期打补丁呢?
# z3 v2 _: E4 m3 Y3 N
% l$ m3 I! r l1 p8 p2 x+ |
7 A8 f) t" C% k. J$ ~" {大东:补丁就是操作系统的不定期错误漏洞修复程序。一般在开发过程中,一开始有很多因素是没有考虑到的,但是随着时间的推移,存在的漏洞问题会慢慢被发现。这时候,为了对系统本身存在的漏洞问题进行修复,系统开发者会发布相应的补丁。黑客如果利用这些漏洞,就可以得到计算机的控制权。; { h; [9 Q7 T: a# I8 Y
V4 C1 X; b, r! E. P7 l
9 g! h' Z% h( O5 h2 @( u; E) O
小白:东哥,还有类似的“原始”方法吗?3 W S r: O0 @! W* r
* X8 q3 c' t# z" v* T
( j' f; u _" r e4 F/ o% v( X3 E/ K3 ^" a
1 ?/ S- l% \" ^6 w
大东:给系统管理员帐户设置足够复杂足够强壮的密码,最好能是10位以上,字母+数字+其它符号的组合;也可以禁用/删除一些不使用的帐户。如果记忆力够好,经常改变密码也是也是个不错的选择。. Z2 b4 A0 c- v6 s7 O$ L9 u! U' O8 [3 c
$ r7 r% G. `7 z5 z/ {
2 y% q. f/ C! I/ W8 w, \* T
小白:对,比如说我就经常换密码。% J+ I" A' S% a$ E9 D3 \& o
( v" A+ K& B7 k4 D
1 @3 L! N: n+ ]' [6 L9 q; Q3 T大东:哎,不过你也总是忘记密码。不过单纯地讲,换密码这个习惯还是不错的。
8 y5 P' v n4 o' f* W: f$ g, H1 Q3 d( F4 x
+ @; O2 b7 g5 v$ V3 z小白:东哥,你总揭我老底,就不能给我留点面子嘛?
- I" M6 ]+ F$ n7 U* ]# v9 T, \! i
4 C+ L+ D2 ~2 | l2 U, R' N大东:(装作听不见的样子) 嗯,我们继续说防范的方法。经常更新杀毒软件(病毒库),安装并合理使用网络防火墙软件是十分必要的。网络防火墙在防病毒过程中起到至关重要的作用,能有效地阻挡自来网络的攻击和病毒的入侵。3 T7 G: e2 ~8 s; N* e' i7 p4 y
" V' b3 X9 l; J( w: `: E+ R
+ m$ h! r! j* Q8 e* F
小白:东哥,还有吗?
: V" F$ u7 A( E b) r3 F+ u3 D6 ^. S# ^$ v& x6 X7 T7 D. B
$ Y7 L! Q6 N4 \ _, a& L2 l7 E
大东:关闭一些不需要的服务,条件允许的话可以关闭没有必要的共享,也包括C$、D$等管理共享。完全单机的用户可直接关闭Server服务。, q; O R0 z' U5 k2 u
7 z$ W6 {- ~ Q5 X+ T. u7 i
9 n& T# t) g: _
小白:懂了。东哥,通过你刚才的讲解,我回忆起来了许多东西。
4 [& I; n% d, U" r' y# Z9 u) A
# o% f3 e# p: ?# L: i
. S5 X8 a8 U4 m6 Y2 \0 @3 b大东:温故而知新嘛!- b3 E5 ]' P* j& n
: B! X: [6 E, m4 S7 B, G% H
7 y" x: Y" `; w; v" {6 q+ f2 z; o5 O
来源:中国科学院计算技术研究所
8 Q( r5 O2 I; s- S. w e$ Q5 u5 K, Y
8 O% ^) |$ B/ j z0 I! R8 c1 r温馨提示:近期,微信公众号信息流改版。每个用户可以设置 常读订阅号,这些订阅号将以大卡片的形式展示。因此,如果不想错过“中科院之声”的文章,你一定要进行以下操作:进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」
# U, K0 T$ U0 `0 z _, b5 n3 v/ ?6 _
3 T) |4 B2 v" j1 V& E V
; O; y6 E; d+ [; t' m: U. F
$ h2 a: e4 b) { L0 h: p$ q
* N! u+ {% [3 c4 B: L5 R/ K& e) `
来源:http://mp.weixin.qq.com/s?src=11×tamp=1574510402&ver=1992&signature=Tvxe-dv0Pli2WOy8jx6-Hw7rnv9HYpasycZdOiA27ix8cPjxnROs0K1kkvdUU-4qOv15U3svsKSNcI-QAj5BtJGG0rX5r4iFdLPgzGOu9EXoWlxVCaXxE1chtktOJjK2&new=1
3 ]4 H* u" H7 f6 m; i7 S0 k免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?立即注册
×
|
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-11-23 20:40:29
