|
|
一、灰鸽子病毒事件
6 m6 L7 ~ Y* |3 B7 i3 m) n# y/ }0 Y6 H4 U( R: |
Y$ \$ y& B6 \8 K! H
小白:东哥,我最近弄了个新鲜的东西,可以远程控制我家的家电,例如空调,电视,冰箱……
+ T$ |3 @ }' _
) Z9 n8 k3 q3 N6 @2 Q2 ~6 m+ {1 X% Q) {
大东:嗯,这个不错!
- O: l8 \9 ^; c& j2 N2 Z' q
, b6 ]4 c: E0 L, w
7 P* h' B4 ^) l9 z: X" m手机远程控制空调。图片来源于网络
n1 j5 o# Z8 b* D8 ]* k/ k3 R% S2 M( _* t# k! R* k
3 o; \4 \, g# U. c) @2 Q+ [' B小白: 是啊,最便捷的是有手机、有WIFI就可以实现远程控制功能。4 }! j1 q- K7 R2 r, d
2 b6 @/ {3 J7 Q* z
/ m7 h6 C$ }. I
大东:等一下,便捷中往往隐藏着“邪恶”,你可要小心灰鸽子病毒啊!0 k1 H% n: s. ]/ g( f4 y7 o) u
$ g0 ~2 e Y5 {! @: \- G7 e4 w
0 X. b3 T( F, }" {7 p
小白:灰鸽子病毒?; {8 B" n% f: }8 U* O2 T) J
: c: r8 h4 T: Y! s/ S$ F5 U, o4 ^2 q2 g4 `
大东:是的。灰鸽子本身是一款远程控制软件,但是因为恶意使用,又被认为是一个集多种控制方法于一体的木马病毒,一旦用户电脑不幸感染,可以说用户的一举一动都在黑客的监控之下,要窃取账号、密码、照片、重要文件都轻而易举。
4 F8 y% o; f! U
$ h; x$ ~4 ^6 G( |" z& E0 t
# B* g+ S7 f- C9 G8 |2 P小白:我的天啊,那我的隐私岂不是完全暴露在大家的面前了?!" @/ S0 A! E5 [
, q% C, n% m* I3 r# Y
3 ?3 j' r5 C4 ^2 G0 l
大东:不仅如此,他们还可以连续捕获远程电脑屏幕,还能监控被控电脑上的摄像头,自动开机(不开显示器)并利用摄像头进行录像。( G9 s) A% `2 |- N! _7 x4 H6 E
) D3 I: x& ?* r# V6 V& l' z
' Y. n% H; e% C! s2 j( Z; }小白:简直是太可怕了!假如我没洗头、没洗脸、穿着邋遢衣服的样子被拍了下来,上传到网上的话……4 {7 P& w$ ~: I' V- Y8 ` Z Z
) I. i$ U, G }7 }, u6 d4 {1 L
8 f" G# }; m! ~$ g- W3 i/ ~6 j
7 r* w( U. k: l2 Z3 a. z- ^ C/ L
3 ]% H' B5 c) q# v大东:emmmmm……你这个颜值估计上传了也没人看。我们言归正传,继续说灰鸽子的事。随着“灰鸽子2007”的发布,当年仅3月1日至13日,金山毒霸截获的灰鸽子变种数就达到521个。盗号、偷窥、敲诈以及骇人听闻的公开“叫卖”,危害更甚于熊猫烧香。
7 _6 V# u% y; W8 Z$ b6 A% G2 X: F4 @! V! Q& R9 l
- V# G4 T( ?0 L6 y% @% c小白:这群人简直太可恶了!
# a. K! E! S7 z1 \. `$ D* B+ a# w& \& w' ^( P/ }/ q) h
8 D# |. n j5 z; T5 y. u
大东:而且灰鸽子已不再是一个单纯的病毒,其背后是一条制造病毒、贩卖病毒、病毒培训为一体的黑色产业链,从某种意义上讲,灰鸽子的危害超出熊猫烧香10倍! " Q& b7 L4 ~' n+ f* \
* q" K# Q. R$ F! X" F, N/ J
! u1 p# _/ x' b4 w) D0 C灰鸽子产业链示意图。图片来源于网络 ' T6 v" J; M) J: _
" q5 E$ d! \1 t/ Q7 e小白:东哥,那我们就拿灰鸽子一点办法都没有吗?
: j$ |' T8 R% q
. @7 j5 P" U# M1 y- X) U# C- P7 l; M0 D0 a/ N
大东:灰鸽子虽然强大,但它并不是完美无缺的。让我为你解析一下这个难缠的病毒。6 }! l7 V- u* h* m
2 z# x" Z; e( f& M) k
二、灰鸽子病毒发展史
& \/ t- M+ ^8 R- R2 E
+ Z, {0 n# ^1 I* B6 N8 `6 ~: v' S: d6 e3 a& q
大东:先来说说灰鸽子病毒的发展史吧。
. [8 Q+ V. {& J; `2 S: S7 F: ]7 m2 ]
3 t3 Z) w) k8 H8 J) h小白:好呀,我最喜欢听历史了。- q: x: z) L$ O) S4 _
9 D, j5 X) p ]1 z
& b( u; H4 b- s0 {( ]) Q
大东:灰鸽子病毒发展分三个时期:诞生期、模仿期、飞速发展期。
@' l4 A6 J. P5 O# B: X9 ~- g- B: A7 H* i6 j
! g0 ] b9 Q' u+ S小白:先说说诞生期吧。
' @5 r# B0 Q& {$ P- O8 q' i0 O. k5 h7 d/ e6 l0 q8 E
/ w' e8 `9 M9 ^% g大东:诞生期自2001年,灰鸽子诞生之日起,就被反病毒专业人士判定为最具危险性的后门程序,并引发安全领域的高度关注。2004年、2005年、2006年,灰鸽子木马连续三年被国内各大杀毒厂商评选为年度十大病毒,灰鸽子也因此声名大噪,逐步成为媒体以及网民关注的焦点。/ l, y( O) k$ I
8 G7 C4 R& H6 x
+ K% Q T8 x1 X小白:最具危险性的后门程序,听上去很厉害嘛。4 a- B7 J2 q9 D U6 w3 Q. c
) t& U8 W2 s! f
" C E0 y; R: G+ h2 P4 M大东:模仿时期,灰鸽子最早出现的时候是在模仿“冰河”。它采用Delphi编写,采用了源码共享的方式出现在互联网。虽然“灰鸽子”在当时的名气不及“冰河”,但由于开放源码的方式让“灰鸽子”逐渐增大了传播量。, B$ W' X. e4 L/ W3 @# L# A9 H
0 k: y, {7 e7 c0 ~: L+ {) f" T$ l. d1 X. A8 a
小白:这么说来冰河是灰鸽子的“前辈”啦!那冰河也是远程控制软件吗?7 }* p# a* z* D; O/ b& G% |4 T
- q5 N6 A: W" l* y5 r
8 _. h6 V+ }( g% ^ P大东:是的。冰河的可怕之处在于自动跟踪目标机屏幕变化,同时可以完全模拟键盘及鼠标输入、记录各种口令信息。还包括获取系统信息,例如计算机名、注册公司、当前用户等多项系统数据。远程关机、远程重启计算机、锁定鼠标及锁定注册表等多项功能限制也是他的拿手强项。
) a4 c, N0 q' i5 h5 W* Q2 ~& l' U3 [
; K+ f+ n. O3 H- k! d F: v
: k0 u8 r6 y- A7 m小白:说远了,该说灰鸽子病毒飞速发展时期了。
. I5 a6 m$ u4 }5 j, S! p6 ?: s2 q4 c, {! B
, c' ]0 p' x, M) ~2 |! i大东:2004和2005这两年之间,灰鸽子逐步进入了成熟的状态,由于源码的释放,大量变种在互联网中衍生。2004年灰鸽子总共发现了1000多变种,而在2005年,这个数字迅速上升到了3000多。5 ?2 [( J, G9 S1 Q) s
. y, P3 y8 w) Z( p: A0 u5 X, z0 `
% X& Q# H; [0 q: {, v$ }小白:变种也太快了吧?!' M3 _1 }7 G" g( r; N
* H# z/ L& L7 v7 ] Q
0 f) t4 M/ n, `2 h大东:“灰鸽子”最大的危害在于潜伏在用户系统中,由于其使用的“反弹端口”原理,一些在局域网(企业网)中的用户也受到了“灰鸽子”的侵害,使得受害用户数大大提高。2004年的感染统计为103483人,而到2005年数字攀升到890321人。“灰鸽子”本身所具备的键盘记录、屏幕捕捉、文件上传下载和运行、摄像头控制等功能,将使用户没任何隐私可言,更可怕的是服务端高度隐藏自己,使受害者无从得知感染此病毒。2 ]: p2 N! T7 ?& j) \& {- ^
3 Z7 h* {! Y# C2 D+ D+ w I/ n0 O+ f- E
小白:令人害怕!
) { @, Y2 ]1 @5 b: ]" G / C5 G- e d" C& }7 k: o8 P, J
三、灰鸽子病毒清除办法- C/ ~) Q4 y; o8 J
% N7 F5 G$ Y( W8 F
& b6 d' V* B, Z: i大东: 但是利用一些检测方法就可以将灰鸽子揪出来。通过研究发现,无论自定义的服务器端文件名是什么,一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点,我们可以较为准确手工检测出灰鸽子服务端。
( c- n2 z$ h8 z: R) O4 J
' u5 v9 w* p J% e; V0 M
$ m' o5 m0 `4 b9 s3 O+ J8 R小白:那是把“_hook.dll”结尾的文件删掉就可以吗?4 }0 q, c) L4 G% f8 |/ R- Z
+ T& x1 z- ~7 m$ v( s8 n q4 M) ~& N
7 q- W$ N {$ w& F大东:当然不是那么简单。由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模式下进行,而且要把Windows设置成显示所有文件。并打开Windows的“搜索文件”,文件名称输入“_hook.dll”,搜索位置选择Windows的安装目录(默认98/xp为C:\windows,2k/NT为C:\Winnt)。经过搜索,在Windows目录(不包含子目录)下发现了一个名为Game_Hook.dll的文件。
4 Z' j+ t5 Z( B7 F- }; ~( i. M- V9 }3 G- K5 r/ Z0 S; N
3 ]/ j0 H2 `% X3 D5 Z$ K小白:这就是灰鸽子文件了吧!- h0 [( {4 e5 }. v+ m* A
* H, ~4 [+ u2 L b; U' O, S' I, P' Z/ v
* P5 l1 i* D& B7 w7 T
大东:还不能确定。如果Game_Hook.DLL是灰鸽子的文件,则在操作系统安装目录下还会有Game.exe和Game.dll文件。这才是真正的灰鸽子的服务端,不能“冤枉”好人啊!0 X: O* o% \% \" a
& s3 t5 v& \* [8 R2 Z; k8 t' S* g8 F- I" `4 D, @& w- _
Game.exe和Game.dll。图片来源于网络
z4 v4 i9 x6 | x
" f( g0 u1 c9 _ c4 j5 a: T. D6 [5 X% V2 s4 p' Q
小白:原来是在这样。把这几个文件删除就可以和灰鸽子病毒say goodbye了吧!9 d9 P4 b6 E. X& M. s6 H! F
1 i; U8 w3 o; [+ d
& X- s% n+ a* f' ~+ J大东:总共有两步,这只是其中的一步。首先清除灰鸽子的服务,注意一定要在注册表里完成。清除灰鸽子的服务一定要先备份注册表,或者到纯DOS下将注册表文件更名,然后再去注册表删除灰鸽子的服务。因为病毒会和EXE文件进行关联。1 a$ t) v6 m* e& L Q
& R2 b6 y. a6 ]
6 o9 F I- I+ _# z* W/ i
小白:东哥,具体应该怎么做啊?教教我呗。
4 t/ b7 @' p* {$ }6 s: j, @/ j/ { k) u+ a( I& `& m+ Z
4 S) h- h/ u+ v大东:第一步打开注册表编辑器(点击“开始”- “运行”,输入“Regedit.exe”,确定。),打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。第二步点击菜单“编辑” “查找”—“查找目标”输入“game.exe”,点击确定,我们就可以找到灰鸽子的服务项(此例为Game_Server,每个人这个服务项名称是不同的)。第三步删除整个Game_Server项。9 m: {8 s1 Z7 w/ {. d" i
( B7 _2 [, Q( \
! E8 N ~6 A; m1 l' J6 S W4 a查找game.exe。图片来源于网络
& i$ H0 E3 K( c: {* z. ?% t: f
3 x; N# _- m, x' K5 p! ~小白:这其中的第二步是不是就是我刚才说的删除Game.exe和Game.dll。
, X6 T2 M+ e$ @6 Y3 \2 w( |! R2 d; t- w, S' C
' i; @, Y& i/ _7 P# L大东:bingo!你只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件,然后重新启动计算机,就彻底告别灰鸽子病毒了。) c w) b/ L4 C, O. G. O
4 O8 C3 C% T( @四、防范措施+ ^- ^, C0 j5 S' o7 U
; c) M) n" z6 b- D: h小白:东哥,那该如何防范灰鸽子这类病毒呢?$ p+ w* |: x1 {' W8 s: S, n1 `
7 I! d, a0 ?& F6 D& H4 U9 ~
\- {+ B4 H, c: f大东:有些办法虽然有些原始,但总是最好用的。比如说给系统安装补丁程序。通过Windows Update安装好系统补丁程序(关键更新、安全更新和Service pack)。' V% g& g* W3 V D" Y
$ m. N0 i; w7 l) x
+ g+ a7 O* R5 [2 E4 G1 u }
小白:东哥,我们老说打补丁,补丁的专业解释是什么呀?我们为什么要定期打补丁呢?
+ U' j+ y; E; a6 v: \: S
9 x# I6 Y2 r# N! G) m, U& T, }% J. E6 B) H
大东:补丁就是操作系统的不定期错误漏洞修复程序。一般在开发过程中,一开始有很多因素是没有考虑到的,但是随着时间的推移,存在的漏洞问题会慢慢被发现。这时候,为了对系统本身存在的漏洞问题进行修复,系统开发者会发布相应的补丁。黑客如果利用这些漏洞,就可以得到计算机的控制权。( [6 A6 _' c Q* y z1 J) U( I5 X& o
3 }' f) n0 ]; H9 A" h; ~7 }
: z& c1 `( ~; H2 x/ }9 \% ?8 ?- B
小白:东哥,还有类似的“原始”方法吗?8 D3 A6 b" a2 N/ u3 n
1 U% o2 ~! a. n& `3 a
0 l' n8 T" }3 s( S3 W4 T: p$ m" n/ N
; Z; @5 J& P3 |/ A6 q K大东:给系统管理员帐户设置足够复杂足够强壮的密码,最好能是10位以上,字母+数字+其它符号的组合;也可以禁用/删除一些不使用的帐户。如果记忆力够好,经常改变密码也是也是个不错的选择。5 o4 k# Q2 [- v0 X3 l: [* V& ^
$ B$ q, i; N' ]6 G( ]$ i2 K/ C# d4 u2 S0 N/ Z6 V3 H
小白:对,比如说我就经常换密码。
% b& h& G% v. `# X! @$ S
/ F0 o" Y) c0 f+ |, A0 v! O- E) x% j& y0 L2 c9 H
大东:哎,不过你也总是忘记密码。不过单纯地讲,换密码这个习惯还是不错的。2 e& h. @) N1 R$ p
8 Z% h) s+ R/ B3 E3 C, U
V( v- ?- M% ]! @小白:东哥,你总揭我老底,就不能给我留点面子嘛?6 H( x& t3 `6 M
~* Y$ n1 m1 k: Q1 L6 W% \
8 E4 W! U; s! B; D大东:(装作听不见的样子) 嗯,我们继续说防范的方法。经常更新杀毒软件(病毒库),安装并合理使用网络防火墙软件是十分必要的。网络防火墙在防病毒过程中起到至关重要的作用,能有效地阻挡自来网络的攻击和病毒的入侵。, J" c9 d6 l' v1 m
% F( r5 E* F8 `% |6 ~# h2 `
5 k% x! P! Y9 b$ X; I$ E
小白:东哥,还有吗?
( Z( ], U: V5 \' m; Y' d$ t- c' p, \9 ]" H
5 [) |* F) u/ k1 N+ p大东:关闭一些不需要的服务,条件允许的话可以关闭没有必要的共享,也包括C$、D$等管理共享。完全单机的用户可直接关闭Server服务。
( {' g1 O0 z5 V) a- O5 [
: |' |" \' ^5 I" @
. C% U; f- N) L2 A* `小白:懂了。东哥,通过你刚才的讲解,我回忆起来了许多东西。: y+ v N4 S! e7 Z( B
, U! `0 E) t" \+ r: K" U
& N) N9 u' B) t7 w5 k大东:温故而知新嘛!
, y2 n& [/ C2 J+ c' o( F& Y3 g$ i7 h/ W
. {7 s5 }0 _6 D% g" A/ D2 ]来源:中国科学院计算技术研究所4 T# o9 C( @* F- @( R' C4 U7 ^. N' j
% m/ T! H1 z" k2 u9 O' V
[' J, l% G" m7 S6 O9 H) S8 O
温馨提示:近期,微信公众号信息流改版。每个用户可以设置 常读订阅号,这些订阅号将以大卡片的形式展示。因此,如果不想错过“中科院之声”的文章,你一定要进行以下操作:进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」
0 d& e9 M( @6 d6 y# v ?8 t7 H' h' T5 L
& a9 h$ A V( |4 G
8 e2 E' l# g* f8 u7 }2 n0 V0 N2 C& V% x6 H- V
 8 ~- k0 |2 a: a* N& \
( X, U( W9 H, V# V! R
来源:http://mp.weixin.qq.com/s?src=11×tamp=1574510402&ver=1992&signature=Tvxe-dv0Pli2WOy8jx6-Hw7rnv9HYpasycZdOiA27ix8cPjxnROs0K1kkvdUU-4qOv15U3svsKSNcI-QAj5BtJGG0rX5r4iFdLPgzGOu9EXoWlxVCaXxE1chtktOJjK2&new=1
" N% Q8 i) M4 M3 }* C( L5 M免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?立即注册
×
|
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-11-23 20:40:29
