|
|
一、灰鸽子病毒事件3 m5 P2 o& u0 p
8 K. ]! o/ J& s
, `4 B+ M6 v, ]1 v& L" {9 _9 O小白:东哥,我最近弄了个新鲜的东西,可以远程控制我家的家电,例如空调,电视,冰箱……
1 k1 k9 A; i( Z2 P* B; W, v' p; f: o. L
! d" W9 b2 M0 [( \( R大东:嗯,这个不错!0 ?9 y+ c/ |& o7 ]% [
: n* {: m V; |8 b
: [. w$ O- m4 V* E8 Q' d; N% Y3 s手机远程控制空调。图片来源于网络
" ^, i( B+ S$ C& @- v
$ Q) _6 a! E( E
- t# W6 L. g% y: {0 S8 U小白: 是啊,最便捷的是有手机、有WIFI就可以实现远程控制功能。
: V4 O( j/ O% S3 y2 P
# m" x. A8 ^: b6 G
& P( s" f& l- j4 P8 B大东:等一下,便捷中往往隐藏着“邪恶”,你可要小心灰鸽子病毒啊!2 N& v( V8 j# G" n( |' E
& E4 Z) o* }( }3 V: k1 w) V4 t
/ Z8 v; w" d, F- w. z2 O) k( S小白:灰鸽子病毒?
/ [# X5 @: E. t$ B8 H
% [4 a- T$ f \6 q, W1 K, i
) i6 ]) y! y8 |6 Y8 h大东:是的。灰鸽子本身是一款远程控制软件,但是因为恶意使用,又被认为是一个集多种控制方法于一体的木马病毒,一旦用户电脑不幸感染,可以说用户的一举一动都在黑客的监控之下,要窃取账号、密码、照片、重要文件都轻而易举。1 K; Y# p$ y' ~1 v
0 h8 z! G* s( S! k& P1 E5 I
- M9 Z# N# W: t4 W& r; o+ _# Q
小白:我的天啊,那我的隐私岂不是完全暴露在大家的面前了?!1 S# H/ f: F: P' M
3 c( D! G* w8 S; _& v5 V N
& t0 \$ K6 s; P- ?) D大东:不仅如此,他们还可以连续捕获远程电脑屏幕,还能监控被控电脑上的摄像头,自动开机(不开显示器)并利用摄像头进行录像。
# @3 c" { a3 I1 f( A+ ~( K1 B& w2 O+ a7 _
; l4 p6 f Q: a% |* G) Q
小白:简直是太可怕了!假如我没洗头、没洗脸、穿着邋遢衣服的样子被拍了下来,上传到网上的话……
: x( B* [3 z3 j, q6 |/ M 8 Z/ r: y8 @* O) O! C! L7 x% Q
, c$ L$ J& r# y+ Q4 q: d1 k/ y6 }4 N5 Q0 a4 i
- Z- |) D& S/ T3 p! h
大东:emmmmm……你这个颜值估计上传了也没人看。我们言归正传,继续说灰鸽子的事。随着“灰鸽子2007”的发布,当年仅3月1日至13日,金山毒霸截获的灰鸽子变种数就达到521个。盗号、偷窥、敲诈以及骇人听闻的公开“叫卖”,危害更甚于熊猫烧香。( W8 q3 D7 o( }) O
/ d5 P G5 X0 i
7 v4 R3 [! d7 R8 v# V小白:这群人简直太可恶了!
% R7 c$ Q) v0 Z# k
" o" @$ L# R9 Z. U
" a7 U% L* y4 ~$ P. G大东:而且灰鸽子已不再是一个单纯的病毒,其背后是一条制造病毒、贩卖病毒、病毒培训为一体的黑色产业链,从某种意义上讲,灰鸽子的危害超出熊猫烧香10倍!
. ^9 J4 x" h% ^: m . F) u% Q# ]' Q7 N7 I6 b
1 C- H0 H+ M* N2 C! B
灰鸽子产业链示意图。图片来源于网络 , _, |* O$ K h( o" L' Q2 Z2 `) H5 d# p
- \* C: W @7 H; p- V* u$ q P小白:东哥,那我们就拿灰鸽子一点办法都没有吗?7 @- R$ M* P. a9 n. x5 n4 I7 C& ]
" u* k: d2 V4 B9 i2 P
2 P1 C& d3 I6 G0 B0 J: u
大东:灰鸽子虽然强大,但它并不是完美无缺的。让我为你解析一下这个难缠的病毒。
8 H' k# u% }$ w 1 I/ J( F( L) @( t& p; {& \. V# l
二、灰鸽子病毒发展史
5 X2 ^! X! Y5 A$ w1 _* |
1 J9 H+ f, g7 p n% e9 ?" g! Z; j& c8 F% W, S1 G2 I
大东:先来说说灰鸽子病毒的发展史吧。
$ f* m( f5 N# v) s( o/ O" x0 U7 E( `. y0 m: q
- t2 ?- q& Q- g1 E: P, o: q; [小白:好呀,我最喜欢听历史了。9 S, |+ E# h6 _- {( G
4 f/ t8 T$ }( Q
4 L* z) v! ? i2 h, [- Q( A/ W( M大东:灰鸽子病毒发展分三个时期:诞生期、模仿期、飞速发展期。
( z" N2 Z. ? l, o8 h' i. T# r5 c
% S- ^. s c9 u7 ~0 J
小白:先说说诞生期吧。
% W0 N T0 S2 E: z( o7 R8 ^5 Z, R3 r5 u
/ h8 f9 ^* X6 S5 e6 W7 K, d& X大东:诞生期自2001年,灰鸽子诞生之日起,就被反病毒专业人士判定为最具危险性的后门程序,并引发安全领域的高度关注。2004年、2005年、2006年,灰鸽子木马连续三年被国内各大杀毒厂商评选为年度十大病毒,灰鸽子也因此声名大噪,逐步成为媒体以及网民关注的焦点。: E) }+ y8 T( R2 E
9 O& S7 p" U7 B$ _
: p* L, I; E5 e( i( m# d, ]小白:最具危险性的后门程序,听上去很厉害嘛。9 r( @3 _6 s9 B2 Q
& Z- l7 o' n; \8 L9 Z+ M f5 O# y8 S1 `! W+ l
大东:模仿时期,灰鸽子最早出现的时候是在模仿“冰河”。它采用Delphi编写,采用了源码共享的方式出现在互联网。虽然“灰鸽子”在当时的名气不及“冰河”,但由于开放源码的方式让“灰鸽子”逐渐增大了传播量。/ c0 c |. P" c! e/ X
5 s% W) e9 j9 s. z
" ~; |- ^; O' }) g. G小白:这么说来冰河是灰鸽子的“前辈”啦!那冰河也是远程控制软件吗?
' x3 l0 n5 u8 G) \; [4 \+ c* C% k+ K* ]: k% V% J, j
1 ^9 n; l% A' l( {大东:是的。冰河的可怕之处在于自动跟踪目标机屏幕变化,同时可以完全模拟键盘及鼠标输入、记录各种口令信息。还包括获取系统信息,例如计算机名、注册公司、当前用户等多项系统数据。远程关机、远程重启计算机、锁定鼠标及锁定注册表等多项功能限制也是他的拿手强项。2 e, c- @# O' P) n( q: u, i- B* R/ i
0 Z$ C5 l# K2 x2 L; C: c7 |! t( l' C/ d: a- t R0 T
小白:说远了,该说灰鸽子病毒飞速发展时期了。; q% C5 A$ K& a3 h) ]+ o
1 y' X g, r3 {' d
6 q! e1 H+ G( @& s大东:2004和2005这两年之间,灰鸽子逐步进入了成熟的状态,由于源码的释放,大量变种在互联网中衍生。2004年灰鸽子总共发现了1000多变种,而在2005年,这个数字迅速上升到了3000多。' ^8 R. M. y Q
8 z2 m3 X$ _6 {
8 r4 ^ [& H8 m# l# G. B# E! Y小白:变种也太快了吧?!
1 J4 @9 m7 R& j4 a+ T3 Z$ R; b8 r! o- `3 j
$ H, \, n, z" [# N; n* V大东:“灰鸽子”最大的危害在于潜伏在用户系统中,由于其使用的“反弹端口”原理,一些在局域网(企业网)中的用户也受到了“灰鸽子”的侵害,使得受害用户数大大提高。2004年的感染统计为103483人,而到2005年数字攀升到890321人。“灰鸽子”本身所具备的键盘记录、屏幕捕捉、文件上传下载和运行、摄像头控制等功能,将使用户没任何隐私可言,更可怕的是服务端高度隐藏自己,使受害者无从得知感染此病毒。0 F# m! ?3 U ^' y$ s" K' ~9 T5 V/ B; n
8 a/ q V0 t' n& F1 `
9 e7 e: Y0 ]$ C* c小白:令人害怕!
/ m- q# j* [8 \2 Z1 O2 q9 U 7 W: ^! F* ~# y Q6 |4 o! E
三、灰鸽子病毒清除办法) ^6 m& c9 K2 v$ `3 |
9 P ^ c$ J5 e4 r/ I6 e- c! E+ x; T2 M
大东: 但是利用一些检测方法就可以将灰鸽子揪出来。通过研究发现,无论自定义的服务器端文件名是什么,一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点,我们可以较为准确手工检测出灰鸽子服务端。, g1 l7 a" B3 C0 [! N. v7 x" u
. s' X7 R! R7 ]2 I2 y: F. S3 K* g! G) H9 Y. @( j1 U
小白:那是把“_hook.dll”结尾的文件删掉就可以吗?
3 A8 b: O) E$ X: q( |7 R0 g& \+ c- s& V6 @* @
2 |2 W* Q' H# ?( P1 s3 n; K大东:当然不是那么简单。由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模式下进行,而且要把Windows设置成显示所有文件。并打开Windows的“搜索文件”,文件名称输入“_hook.dll”,搜索位置选择Windows的安装目录(默认98/xp为C:\windows,2k/NT为C:\Winnt)。经过搜索,在Windows目录(不包含子目录)下发现了一个名为Game_Hook.dll的文件。8 g$ f/ _6 N7 \% s" {
9 d( w6 L! k, h" G5 J% K/ g& _, E/ |8 g
小白:这就是灰鸽子文件了吧!; E& m' n9 Q6 K: m
, `& P( I/ @' E
+ T4 u; R7 F5 K$ u" E/ t1 B大东:还不能确定。如果Game_Hook.DLL是灰鸽子的文件,则在操作系统安装目录下还会有Game.exe和Game.dll文件。这才是真正的灰鸽子的服务端,不能“冤枉”好人啊!
$ j# `, k. Q9 G% T6 F" K$ A O) ~& ?- e: B4 Z+ N
0 U) `& M: w$ Y7 t" u
Game.exe和Game.dll。图片来源于网络 ! J6 b3 ?6 R' s: O. k
! r5 Q4 e' ^( J' P; A; b# H
. P4 E7 m( B* k+ l8 C2 Y! D2 |5 F- D小白:原来是在这样。把这几个文件删除就可以和灰鸽子病毒say goodbye了吧!; \) |' i+ z, ]* r+ I: W4 F
3 i, R1 {: p- I1 K
( q; P' k% M5 }! O2 F v大东:总共有两步,这只是其中的一步。首先清除灰鸽子的服务,注意一定要在注册表里完成。清除灰鸽子的服务一定要先备份注册表,或者到纯DOS下将注册表文件更名,然后再去注册表删除灰鸽子的服务。因为病毒会和EXE文件进行关联。
" N \# ~: A; u3 d; }9 T/ c
! x6 P8 W# q# _" Q; p; q( G4 }0 X% q( q+ ^' r
小白:东哥,具体应该怎么做啊?教教我呗。" G5 {% Z: q) h$ D/ D
( d2 `- L5 G7 Y/ s& n4 n% V+ f$ T2 i
大东:第一步打开注册表编辑器(点击“开始”- “运行”,输入“Regedit.exe”,确定。),打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。第二步点击菜单“编辑” “查找”—“查找目标”输入“game.exe”,点击确定,我们就可以找到灰鸽子的服务项(此例为Game_Server,每个人这个服务项名称是不同的)。第三步删除整个Game_Server项。
: A! C% g+ G% e% h$ {. h 9 o9 l y( V5 o8 u
( V7 S! V2 e% d" {2 M) ~ U% D: Z查找game.exe。图片来源于网络
( s4 l* I" d/ n/ K& Y5 _
8 U/ x6 g0 C$ x, J: z小白:这其中的第二步是不是就是我刚才说的删除Game.exe和Game.dll。# S5 h5 n) {# |: a& ~
/ J& R3 m1 P- x. a* ]% x( B) ?) q+ h0 Q& D4 m( O
大东:bingo!你只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件,然后重新启动计算机,就彻底告别灰鸽子病毒了。4 [# l( V$ r) _& K* g
9 F6 V* h$ l- }7 L5 J; R
四、防范措施/ D7 D: p8 t- r; G, |+ p
% Q- ~0 z; @8 E0 d小白:东哥,那该如何防范灰鸽子这类病毒呢?/ J& \' \. \$ ~: P2 h' N
# y W" U, k( K/ I& h" S2 s$ \, f
大东:有些办法虽然有些原始,但总是最好用的。比如说给系统安装补丁程序。通过Windows Update安装好系统补丁程序(关键更新、安全更新和Service pack)。
" A7 s) E/ {0 O: V" ?8 g7 X, A1 H
2 m' \9 F u5 G# I T9 E0 W
, i) `1 A, d m小白:东哥,我们老说打补丁,补丁的专业解释是什么呀?我们为什么要定期打补丁呢?7 S8 f' |, j6 r- n4 P V2 ~ x
6 `5 Z* a# R% r9 c4 V- a
! G5 s W) i5 D; D* A大东:补丁就是操作系统的不定期错误漏洞修复程序。一般在开发过程中,一开始有很多因素是没有考虑到的,但是随着时间的推移,存在的漏洞问题会慢慢被发现。这时候,为了对系统本身存在的漏洞问题进行修复,系统开发者会发布相应的补丁。黑客如果利用这些漏洞,就可以得到计算机的控制权。+ T2 k) r. N4 e+ d2 G
/ b; j' o' Y, W9 b( a6 M+ H2 z; |. c! ~, w2 t5 p7 c
小白:东哥,还有类似的“原始”方法吗?% h4 E- o' B5 ^; Q2 S/ C$ l1 M( s
! k1 _' b2 Z/ }- y) s7 q: D$ q! S8 @: E
) e6 n. ?' e ?' { % P9 V0 N4 u" q. `
大东:给系统管理员帐户设置足够复杂足够强壮的密码,最好能是10位以上,字母+数字+其它符号的组合;也可以禁用/删除一些不使用的帐户。如果记忆力够好,经常改变密码也是也是个不错的选择。6 ] x9 e( Q7 q8 r
% R& D0 W& s$ l* N+ d
/ }5 G7 ?% Q; j+ T* w
小白:对,比如说我就经常换密码。0 u) [3 n7 t/ |
1 v l2 B K/ P; L q8 f3 q: I2 X) f5 w7 F9 [
大东:哎,不过你也总是忘记密码。不过单纯地讲,换密码这个习惯还是不错的。7 |. ^$ D+ ?: `& [
* W% Z9 f% O0 y! R) s
) s0 e" z) U v3 w小白:东哥,你总揭我老底,就不能给我留点面子嘛?
/ S5 O6 B" e; R% ^) v, G; l) f s5 {+ p& j; x. R
% \+ e `# H/ e3 V, t4 Z) {0 a
大东:(装作听不见的样子) 嗯,我们继续说防范的方法。经常更新杀毒软件(病毒库),安装并合理使用网络防火墙软件是十分必要的。网络防火墙在防病毒过程中起到至关重要的作用,能有效地阻挡自来网络的攻击和病毒的入侵。
" v+ `' ~8 q) Y
$ W, C7 |# I# ?* l5 `
# R" \/ Z2 ?4 R2 U! T- y小白:东哥,还有吗?: `1 _8 _. W" t. V* a
6 W6 a \8 e1 z7 v5 S
# H8 N) V* h. B1 \- y. o' }
大东:关闭一些不需要的服务,条件允许的话可以关闭没有必要的共享,也包括C$、D$等管理共享。完全单机的用户可直接关闭Server服务。
5 K. Z# R* O7 r& T4 U
' ?) i8 [/ U R0 s
l( L1 @$ ^6 _+ Q小白:懂了。东哥,通过你刚才的讲解,我回忆起来了许多东西。
) a- P, ], `* v* n+ x3 Y- u8 Q. p. S2 ^' }- u1 d( z9 F, K
: D3 P7 D' q1 ]/ L5 t3 ?& _大东:温故而知新嘛!( u$ ]/ p- g0 X+ ?6 ~4 r: g5 J
$ l( F% w. Z7 T; |- y0 t/ U' C# F& o3 a) T. Y
来源:中国科学院计算技术研究所8 x& d8 E0 ^- Q* n' [" f# o
2 H) s) B9 r) v7 e
E6 C0 y: z4 t! A6 i
温馨提示:近期,微信公众号信息流改版。每个用户可以设置 常读订阅号,这些订阅号将以大卡片的形式展示。因此,如果不想错过“中科院之声”的文章,你一定要进行以下操作:进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」* F9 Q4 x$ I/ r8 y
% [' a% |$ U# Q7 ` \" R2 N
7 A6 u* t& [. ^5 _
L, G2 U& W9 j( K2 S& c$ M; a# ]/ t# G, g; W8 t; F1 l
7 ^7 `4 w1 w0 [# V J
4 ^6 R h: T; I1 F- J+ H0 d
来源:http://mp.weixin.qq.com/s?src=11×tamp=1574510402&ver=1992&signature=Tvxe-dv0Pli2WOy8jx6-Hw7rnv9HYpasycZdOiA27ix8cPjxnROs0K1kkvdUU-4qOv15U3svsKSNcI-QAj5BtJGG0rX5r4iFdLPgzGOu9EXoWlxVCaXxE1chtktOJjK2&new=1# [0 _7 F$ F2 v# [: u3 T8 G
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?立即注册
×
|