|
|
一、灰鸽子病毒事件
6 J0 B' h! L. Q
: j' Z3 p; l- _% C$ c/ |- G% Q% L* \; q+ G: U; f6 w7 m# H, A7 ]/ h
小白:东哥,我最近弄了个新鲜的东西,可以远程控制我家的家电,例如空调,电视,冰箱……
3 I5 ^% M2 T/ f6 L# h* ]- H4 A. } x4 P8 T! b5 G0 }
i2 `; z' S, i大东:嗯,这个不错!2 L& \# `* A" i( ] y- [) T! D! P
4 z( S3 f q4 t% w) E! \% V& |9 O) u* \
手机远程控制空调。图片来源于网络 $ D; \+ ]) T5 u" e+ T, _$ i) X! r( c) A
" Q* O' g h# }$ c& x2 b: e7 u+ e/ c6 J: W% n) b
小白: 是啊,最便捷的是有手机、有WIFI就可以实现远程控制功能。3 | s7 A: }9 K$ q1 G* F
0 ~1 }9 H/ Z/ @4 t" ?( M
" D S; ~: [. k* l4 s* w/ e大东:等一下,便捷中往往隐藏着“邪恶”,你可要小心灰鸽子病毒啊!5 U) l; x8 l. B# x1 i5 d
' r; F/ v: v% C8 ^" t
; M( x% \- f, c+ R: R) L小白:灰鸽子病毒?
; f$ @4 Q4 K% R0 Y; a# R9 r
|- V& {% Q! `9 R6 l9 K3 }8 {& N q! [3 p) U$ t) a3 o; B: C; N
大东:是的。灰鸽子本身是一款远程控制软件,但是因为恶意使用,又被认为是一个集多种控制方法于一体的木马病毒,一旦用户电脑不幸感染,可以说用户的一举一动都在黑客的监控之下,要窃取账号、密码、照片、重要文件都轻而易举。9 R7 I1 `% ]5 m) d/ n! X3 \
+ d Y V; a6 r2 W( ^
% }- u* ?4 t6 W" i, L3 I9 @小白:我的天啊,那我的隐私岂不是完全暴露在大家的面前了?!; ]* y% l3 @& H1 n0 z
1 |8 K# G4 F4 B2 \( c- z8 v7 |
. Z; E+ q! C e5 x1 x/ O8 W ~大东:不仅如此,他们还可以连续捕获远程电脑屏幕,还能监控被控电脑上的摄像头,自动开机(不开显示器)并利用摄像头进行录像。
0 B9 s+ k! N) ?( p+ k) ]5 O# d* h0 [9 n( g& H
( P( z) t! Q0 s3 [/ W3 a' F9 \
小白:简直是太可怕了!假如我没洗头、没洗脸、穿着邋遢衣服的样子被拍了下来,上传到网上的话……, K4 E! Z" [3 ?6 Y F7 C( S6 C
. c* _: @$ g& @
6 P! x0 j" T9 J, F+ a ^: S9 b* b( G \1 p( n2 J
' W* ]. ~4 p& u% G( m! S$ y& I# N+ x大东:emmmmm……你这个颜值估计上传了也没人看。我们言归正传,继续说灰鸽子的事。随着“灰鸽子2007”的发布,当年仅3月1日至13日,金山毒霸截获的灰鸽子变种数就达到521个。盗号、偷窥、敲诈以及骇人听闻的公开“叫卖”,危害更甚于熊猫烧香。 F: T/ [7 ^: r' M" @( n
* ~& I* e p% P7 X. _7 l5 Q7 {, Z# `
0 i$ W) ^* j2 u6 q! Y
小白:这群人简直太可恶了!( U# o. p$ h7 [ Q a
# Y, w& m6 X( }0 ]% {# G- u
$ B6 u" `2 u8 X$ }8 _5 m; M大东:而且灰鸽子已不再是一个单纯的病毒,其背后是一条制造病毒、贩卖病毒、病毒培训为一体的黑色产业链,从某种意义上讲,灰鸽子的危害超出熊猫烧香10倍! 1 J' _7 E4 P' J) g8 j; t, G" ^
" A( ~' e* r# e2 S2 I
3 J1 E2 T; j4 E% U* p
灰鸽子产业链示意图。图片来源于网络 $ i" ^+ w" ^3 [3 Q+ @: E" }
% q( J5 G% \3 [" l4 ^% e小白:东哥,那我们就拿灰鸽子一点办法都没有吗?
g R5 j# O; _% P' k4 O; \2 _9 m9 _' E' Z
4 m6 y% m0 [5 l9 Z1 L! g" l+ R大东:灰鸽子虽然强大,但它并不是完美无缺的。让我为你解析一下这个难缠的病毒。
, `4 h( M# W% O, q2 P8 w
1 H; X9 {! p2 ^9 y/ |& D3 l二、灰鸽子病毒发展史6 @! X: h4 k- D3 E9 R
, N! \6 ~6 Z& k+ V& X9 e. D. a5 Q H/ w; j- P# M$ f
大东:先来说说灰鸽子病毒的发展史吧。
& S3 Y- d% ]6 u8 J- w2 {
( }! N# y7 u; x1 c) A( C& u, `, S, u, V7 z. z% M$ j- ?
小白:好呀,我最喜欢听历史了。: b. l! z2 G b; v
5 l# b8 D! ?8 z1 f) M* o$ |3 P' V0 }& ~ W4 R) A0 z! N- ^
大东:灰鸽子病毒发展分三个时期:诞生期、模仿期、飞速发展期。
6 {# w5 ^- E% b$ ^0 b$ f9 ? {5 B8 J3 z8 Y
9 k4 q' F( [3 ~ x/ }
小白:先说说诞生期吧。& f- b2 D5 G1 v, ]
* q: q8 y' u+ b/ m0 t
; [. G( X2 W) r; ]大东:诞生期自2001年,灰鸽子诞生之日起,就被反病毒专业人士判定为最具危险性的后门程序,并引发安全领域的高度关注。2004年、2005年、2006年,灰鸽子木马连续三年被国内各大杀毒厂商评选为年度十大病毒,灰鸽子也因此声名大噪,逐步成为媒体以及网民关注的焦点。
; ?( w, |/ J% r5 S4 M
* e. R! B v5 k# T* b" W1 g. E3 T" Q* X6 D! ^4 n& w! @
小白:最具危险性的后门程序,听上去很厉害嘛。0 O q0 a+ H( \
3 {+ [6 ` z9 x0 f8 t
* K( Y" y0 r/ b8 I% V大东:模仿时期,灰鸽子最早出现的时候是在模仿“冰河”。它采用Delphi编写,采用了源码共享的方式出现在互联网。虽然“灰鸽子”在当时的名气不及“冰河”,但由于开放源码的方式让“灰鸽子”逐渐增大了传播量。1 J$ H0 T! F3 r2 c
% M% o$ S& m$ B3 o/ {" [ p+ ?
) @9 U* ]0 S& N6 J; y' \小白:这么说来冰河是灰鸽子的“前辈”啦!那冰河也是远程控制软件吗?
6 _9 A( g# I, |) ]- B/ [) h0 @* N
F$ x+ {5 u& m {$ w% d& q$ N1 y/ d2 Y& k) e# a
大东:是的。冰河的可怕之处在于自动跟踪目标机屏幕变化,同时可以完全模拟键盘及鼠标输入、记录各种口令信息。还包括获取系统信息,例如计算机名、注册公司、当前用户等多项系统数据。远程关机、远程重启计算机、锁定鼠标及锁定注册表等多项功能限制也是他的拿手强项。
6 g) k3 H- T1 p" q+ O, P: R4 J' k7 t# r; D0 E4 t$ ?$ N# e
7 `' M6 W2 f3 V# k
小白:说远了,该说灰鸽子病毒飞速发展时期了。
1 K; u% l3 c2 i6 X7 O4 S' D. Z# a! Y& E* n5 m2 a$ D9 S5 p
; X# E% O6 | u+ K* y' G6 D- u- R
大东:2004和2005这两年之间,灰鸽子逐步进入了成熟的状态,由于源码的释放,大量变种在互联网中衍生。2004年灰鸽子总共发现了1000多变种,而在2005年,这个数字迅速上升到了3000多。
0 a4 R/ G" o- I* t8 R" C! e7 a3 q7 S0 a
1 o1 I" P6 G" K小白:变种也太快了吧?!
; f4 p: n' Y* O
: c) T* f& z! F( d! p! W2 f( O! n2 U7 {* N7 ^& L, `! b
大东:“灰鸽子”最大的危害在于潜伏在用户系统中,由于其使用的“反弹端口”原理,一些在局域网(企业网)中的用户也受到了“灰鸽子”的侵害,使得受害用户数大大提高。2004年的感染统计为103483人,而到2005年数字攀升到890321人。“灰鸽子”本身所具备的键盘记录、屏幕捕捉、文件上传下载和运行、摄像头控制等功能,将使用户没任何隐私可言,更可怕的是服务端高度隐藏自己,使受害者无从得知感染此病毒。
9 P3 w5 n5 c" A c6 ~- X' p4 G' B
# `# Y$ q7 w+ E$ ]) N& m( r小白:令人害怕!
M& Y* s3 ~! A/ W5 n
8 x9 ]7 O6 t# K3 q+ [- Z三、灰鸽子病毒清除办法. t; T+ f/ {, _
: A- S1 s) v" p4 S+ c
3 p& ^$ I6 e! Z. h; G# o; F, h# {大东: 但是利用一些检测方法就可以将灰鸽子揪出来。通过研究发现,无论自定义的服务器端文件名是什么,一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点,我们可以较为准确手工检测出灰鸽子服务端。
: l0 ~3 u2 i$ r1 a K1 [6 k
( K: l3 E: z# G/ c# \: @, o2 W9 Y. m0 X
小白:那是把“_hook.dll”结尾的文件删掉就可以吗?, u, V' s7 E( V: \% Y
( j1 `8 U: K. C
7 P3 A z# H4 u( W, R5 U大东:当然不是那么简单。由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模式下进行,而且要把Windows设置成显示所有文件。并打开Windows的“搜索文件”,文件名称输入“_hook.dll”,搜索位置选择Windows的安装目录(默认98/xp为C:\windows,2k/NT为C:\Winnt)。经过搜索,在Windows目录(不包含子目录)下发现了一个名为Game_Hook.dll的文件。
7 n+ L3 T) a) I. [* V
, J5 t: ^& _9 A! F2 C; J% T
- S' a9 R! d* B. i ]3 D4 q小白:这就是灰鸽子文件了吧!3 [: k$ b4 s5 V* L
3 X% U- E5 a# d# f
6 e& k1 _: }% b. X5 h* F" _ F大东:还不能确定。如果Game_Hook.DLL是灰鸽子的文件,则在操作系统安装目录下还会有Game.exe和Game.dll文件。这才是真正的灰鸽子的服务端,不能“冤枉”好人啊!
6 A% \/ I/ R6 t, t
( D) ^6 p) A2 w/ a' \
( `+ Y8 K) W/ ~' |% n1 g) i/ OGame.exe和Game.dll。图片来源于网络 ; C- G0 R" ^ P# t+ d0 }6 ]
" B& i' c! l5 E0 G* m5 A j
5 A0 j+ n3 T! Q6 j6 ]小白:原来是在这样。把这几个文件删除就可以和灰鸽子病毒say goodbye了吧!4 T& P6 H- b1 V" {
2 f, }" |/ s( u0 c( r* a
1 o3 H) e) S% w1 h. F
大东:总共有两步,这只是其中的一步。首先清除灰鸽子的服务,注意一定要在注册表里完成。清除灰鸽子的服务一定要先备份注册表,或者到纯DOS下将注册表文件更名,然后再去注册表删除灰鸽子的服务。因为病毒会和EXE文件进行关联。
# v3 e* I2 i( d1 x% ]7 N# ?$ Z! R& N, L
/ D7 J# Z# G( P% S. o小白:东哥,具体应该怎么做啊?教教我呗。 V# A0 o# d2 c) E) A
) B. v& \1 V# V) r2 |5 L! W' E. {6 L
- ^0 S8 u& i% b" ~* Z# S# \
大东:第一步打开注册表编辑器(点击“开始”- “运行”,输入“Regedit.exe”,确定。),打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。第二步点击菜单“编辑” “查找”—“查找目标”输入“game.exe”,点击确定,我们就可以找到灰鸽子的服务项(此例为Game_Server,每个人这个服务项名称是不同的)。第三步删除整个Game_Server项。
4 K0 B/ u' W( W6 {/ p. ~
, [, ~- X- M, Y' u3 v( T" a& a) U% N% f i' J N/ z
查找game.exe。图片来源于网络 - |1 M! T% v) h, U
, }! E/ `8 n$ g3 \5 k/ I1 U4 X
小白:这其中的第二步是不是就是我刚才说的删除Game.exe和Game.dll。# Q0 k/ `5 {" y, z
1 Q+ W W0 l, `
/ I# ~7 x. [& l1 h) ~% Y1 H' k大东:bingo!你只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件,然后重新启动计算机,就彻底告别灰鸽子病毒了。
9 @+ I" L" D. c0 M1 w
8 v5 C9 {& c, S0 L- G* v! ?& D四、防范措施
% j+ }( X* l/ L& v. Z- J- ]: h# v M2 C# P# S0 U
小白:东哥,那该如何防范灰鸽子这类病毒呢?- K; |1 _, O* l! F$ ]
% R& \1 C1 K! O% m5 L: p
8 x; b6 Y+ J5 |" ~8 c大东:有些办法虽然有些原始,但总是最好用的。比如说给系统安装补丁程序。通过Windows Update安装好系统补丁程序(关键更新、安全更新和Service pack)。 s- \" n: E1 G8 z# x
: _) l8 Z c6 W
7 T6 d9 |; q0 b A7 l% s小白:东哥,我们老说打补丁,补丁的专业解释是什么呀?我们为什么要定期打补丁呢?
0 p" X# u5 Y0 V, m7 z' T, A y7 z6 }9 l$ \ g' H2 x
! y" p1 U( s2 P" q, m- A大东:补丁就是操作系统的不定期错误漏洞修复程序。一般在开发过程中,一开始有很多因素是没有考虑到的,但是随着时间的推移,存在的漏洞问题会慢慢被发现。这时候,为了对系统本身存在的漏洞问题进行修复,系统开发者会发布相应的补丁。黑客如果利用这些漏洞,就可以得到计算机的控制权。
7 O! {7 _, k- J3 l" k9 d+ D# H5 s$ O
% A a7 K& |: A! u' e0 ?1 l小白:东哥,还有类似的“原始”方法吗?
4 A) x6 W( u( |8 R6 ?
; f" h$ J6 O# r6 y7 v7 W f1 V" H7 @( o5 o' O
8 ^* g% ~0 K: S, K
2 X) T7 A; ^ I
大东:给系统管理员帐户设置足够复杂足够强壮的密码,最好能是10位以上,字母+数字+其它符号的组合;也可以禁用/删除一些不使用的帐户。如果记忆力够好,经常改变密码也是也是个不错的选择。
( S; ~9 p o: G0 E6 k7 V& h
3 A2 @, m& a$ G: M9 d
5 a7 b) c8 r1 v% ?* U# I6 g小白:对,比如说我就经常换密码。
) F1 I7 s4 ~4 Y. q0 O. {- H: d/ q+ Q$ m$ R. d a; Z
9 _; p$ F' {* @大东:哎,不过你也总是忘记密码。不过单纯地讲,换密码这个习惯还是不错的。
" A5 T8 v! f6 f2 s/ ~9 V; O
% C) e4 y' }0 e* J9 N0 k, v) ~+ u' Q% z; |+ O
小白:东哥,你总揭我老底,就不能给我留点面子嘛?
& H: r' Y% {) S! P. u/ k# A$ H/ L5 r+ ?" z P9 @& T+ M2 r5 f" b
+ L& J% ~* n# s* j/ C大东:(装作听不见的样子) 嗯,我们继续说防范的方法。经常更新杀毒软件(病毒库),安装并合理使用网络防火墙软件是十分必要的。网络防火墙在防病毒过程中起到至关重要的作用,能有效地阻挡自来网络的攻击和病毒的入侵。/ q, b% a& ^/ _
) N7 b R `( Y- X7 X
: U2 C! A$ F5 d! X1 |) E: _: J1 L' H小白:东哥,还有吗?
; n. V: r0 y: U* k! u- K
, B3 u" T2 } W0 X$ ~. y5 s% K% M! {. u1 ?& f3 ]2 A. i$ _
大东:关闭一些不需要的服务,条件允许的话可以关闭没有必要的共享,也包括C$、D$等管理共享。完全单机的用户可直接关闭Server服务。
# K. v0 k6 j* c0 o8 ]
4 V# @; |% r) M/ k" X, r& I$ M' V6 |1 g2 E, \6 r0 ~# `2 r
小白:懂了。东哥,通过你刚才的讲解,我回忆起来了许多东西。
[( {/ |, }0 y+ N9 J: [( L( p; l
; ]7 U) R& M5 u/ n G
+ e5 I5 x. Z" S大东:温故而知新嘛!8 d' p) t g# s$ o5 F- G" N# ]
5 S, o: q" b8 q6 H" c* r
7 f0 l& p9 o9 b# P# L来源:中国科学院计算技术研究所
! `! G. e) ?2 }! q0 ^
. a% ?# w( ~# @- Z2 E+ X4 @! B, l1 V/ x1 B5 }# _6 ~0 C4 f
温馨提示:近期,微信公众号信息流改版。每个用户可以设置 常读订阅号,这些订阅号将以大卡片的形式展示。因此,如果不想错过“中科院之声”的文章,你一定要进行以下操作:进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」( w$ l. h# @) |- }8 y+ e) F
* K8 n# p5 Y2 @5 e' w' O9 H% {* J7 N( s5 r8 |
6 P( L# q. z! u% W5 q3 c7 y
' T' s5 h2 ~+ h: ^, t: |, H ! y. ~% S6 C2 ~
4 t* g, N5 {7 E+ p% c, S来源:http://mp.weixin.qq.com/s?src=11×tamp=1574510402&ver=1992&signature=Tvxe-dv0Pli2WOy8jx6-Hw7rnv9HYpasycZdOiA27ix8cPjxnROs0K1kkvdUU-4qOv15U3svsKSNcI-QAj5BtJGG0rX5r4iFdLPgzGOu9EXoWlxVCaXxE1chtktOJjK2&new=1$ H S9 a* S# |9 [
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?立即注册
×
|
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-11-23 20:40:29
