|
|
一、灰鸽子病毒事件
' `: n: |5 C$ O9 K
% ~3 X) e2 H/ E0 {9 ]' ^! L7 r3 h8 b5 Y- k* [* [8 W9 j2 x
小白:东哥,我最近弄了个新鲜的东西,可以远程控制我家的家电,例如空调,电视,冰箱……; q0 F8 K# U2 I8 f, ]
1 [" w$ s- S7 `! B8 i( w5 B
, Q- a; k5 o9 D; Q
大东:嗯,这个不错!
i/ _. O$ S- \% B9 X7 }
8 S5 P. L! k- E2 d! o- o+ c
% T. N' s) @7 j) g( p" L4 ~手机远程控制空调。图片来源于网络
& c, P6 C, {+ i' s7 k4 X/ n( Z& y3 T6 _
" R! c4 o, |1 m小白: 是啊,最便捷的是有手机、有WIFI就可以实现远程控制功能。3 v0 v( ]+ D& U6 h$ Z
% o3 G9 F. @0 c) C) I1 s2 @" U
: O& j) p9 J6 b3 U
大东:等一下,便捷中往往隐藏着“邪恶”,你可要小心灰鸽子病毒啊!
8 A0 O2 d4 R& Z; O7 N1 ~4 d t4 d* ^' O1 W7 M
; P* A5 \7 l& R7 \( P! j8 ~小白:灰鸽子病毒?
9 j' H8 p7 y( |) z* x
. t: K5 e) q2 U4 [* y& U7 F0 I* x* ^7 _! V+ m3 ?
大东:是的。灰鸽子本身是一款远程控制软件,但是因为恶意使用,又被认为是一个集多种控制方法于一体的木马病毒,一旦用户电脑不幸感染,可以说用户的一举一动都在黑客的监控之下,要窃取账号、密码、照片、重要文件都轻而易举。& Q4 G7 K" f" Y9 A" o& Y
* z8 J3 h% ~9 Z- @7 v+ Z$ {
( |, X; s* i. w: M8 _4 Z8 V
小白:我的天啊,那我的隐私岂不是完全暴露在大家的面前了?!: p4 c( c6 A* O# U0 c* Y5 A. ?
$ H y) v/ D- }# R5 H6 t0 [; P
4 r. d$ r" T! o& T大东:不仅如此,他们还可以连续捕获远程电脑屏幕,还能监控被控电脑上的摄像头,自动开机(不开显示器)并利用摄像头进行录像。
+ u* S1 U$ V: p/ \0 g; [
: t: b' s6 Y0 m0 K2 s, E
& Z1 c+ J. D7 j0 Q. d, R小白:简直是太可怕了!假如我没洗头、没洗脸、穿着邋遢衣服的样子被拍了下来,上传到网上的话……! ?. e% s( E1 R. k! d
5 A, h' a! b6 b) |: W
2 J7 {/ V# Q4 M
9 |. y1 A- m) P' m0 p5 Z+ U& y# @( R9 u
大东:emmmmm……你这个颜值估计上传了也没人看。我们言归正传,继续说灰鸽子的事。随着“灰鸽子2007”的发布,当年仅3月1日至13日,金山毒霸截获的灰鸽子变种数就达到521个。盗号、偷窥、敲诈以及骇人听闻的公开“叫卖”,危害更甚于熊猫烧香。
: N0 z/ D8 H7 s: p5 f. E0 W. r+ z
; a( m( V( y# R1 M
: E$ n }$ O- |/ ~小白:这群人简直太可恶了!! A D4 E: U a, h2 F p
$ z; B( D# w/ V9 {- ?; P. S9 ]9 H
大东:而且灰鸽子已不再是一个单纯的病毒,其背后是一条制造病毒、贩卖病毒、病毒培训为一体的黑色产业链,从某种意义上讲,灰鸽子的危害超出熊猫烧香10倍!
+ W4 \* U0 R% z 2 ^8 y. `4 e" {) r: P$ _
+ M, ~4 h' D, u" C0 ^; i灰鸽子产业链示意图。图片来源于网络
+ h6 {# E7 \4 u" [7 D" A, `
7 _" c7 `9 ]4 l3 W2 Q: p小白:东哥,那我们就拿灰鸽子一点办法都没有吗?9 n2 Z; O+ u' V5 R
6 F1 {$ G. t! D6 `+ K
# U4 V, O+ _3 b: k- |4 X
大东:灰鸽子虽然强大,但它并不是完美无缺的。让我为你解析一下这个难缠的病毒。( I2 c: _$ ^1 q6 c
' v: z" ^9 M6 y8 a二、灰鸽子病毒发展史
' m# e* r, d+ L! u1 H
9 p) `8 t: f! A4 m0 R" u
* o: D0 {0 X: D* r3 A) l大东:先来说说灰鸽子病毒的发展史吧。
9 ^1 T9 u5 U" o$ c
* |" w& H; z; `8 b
# B- D) ~4 ~8 W8 ?* P小白:好呀,我最喜欢听历史了。
2 d/ Y. m z) d) ~) D* g3 y* J* s
- }3 I1 `, [* I; W
: _( }) o; r: k大东:灰鸽子病毒发展分三个时期:诞生期、模仿期、飞速发展期。
. d# _- b5 W4 j- n4 U, K" d
# Q; d4 C' a* }0 b, ?
5 G% O5 E! ^+ W) v2 W8 l: v小白:先说说诞生期吧。
; [3 E* I g8 B7 u2 r @
! x- m0 t: T/ F2 H( l5 \1 b5 J- K( K- [, N0 U
大东:诞生期自2001年,灰鸽子诞生之日起,就被反病毒专业人士判定为最具危险性的后门程序,并引发安全领域的高度关注。2004年、2005年、2006年,灰鸽子木马连续三年被国内各大杀毒厂商评选为年度十大病毒,灰鸽子也因此声名大噪,逐步成为媒体以及网民关注的焦点。
( a0 p) N# T9 e; S; ?0 Y! S* n r7 N3 P& i
5 G! t; y; v# I3 O% c# `
小白:最具危险性的后门程序,听上去很厉害嘛。
1 _( x) |7 J# H, L4 R% p: _: ~# a! m" p2 l" X
, ~0 G; ^4 i2 p' ]( p
大东:模仿时期,灰鸽子最早出现的时候是在模仿“冰河”。它采用Delphi编写,采用了源码共享的方式出现在互联网。虽然“灰鸽子”在当时的名气不及“冰河”,但由于开放源码的方式让“灰鸽子”逐渐增大了传播量。
3 y' E. y5 k3 e6 X! f
3 l7 k" r5 t. Q. D6 r1 {% m) N1 ]; s9 _! ]( v2 ?
小白:这么说来冰河是灰鸽子的“前辈”啦!那冰河也是远程控制软件吗?
" f |2 w6 }6 w5 b+ j0 X
2 M( ?! Y; ?* p, m4 m. h( X3 }2 q+ n* P0 f
大东:是的。冰河的可怕之处在于自动跟踪目标机屏幕变化,同时可以完全模拟键盘及鼠标输入、记录各种口令信息。还包括获取系统信息,例如计算机名、注册公司、当前用户等多项系统数据。远程关机、远程重启计算机、锁定鼠标及锁定注册表等多项功能限制也是他的拿手强项。
/ W# k2 @1 m% ~3 D' t6 O0 B1 @7 b& a: v$ K2 c4 ^; P
8 t7 a, h0 |4 i& N8 B$ U1 B- b8 s
小白:说远了,该说灰鸽子病毒飞速发展时期了。
4 Z4 j+ @6 Q- @9 ]4 Q: f) X: w* H6 j3 r9 f" B, o
( a3 Y4 K0 w5 Y" v9 k2 e# ]# I大东:2004和2005这两年之间,灰鸽子逐步进入了成熟的状态,由于源码的释放,大量变种在互联网中衍生。2004年灰鸽子总共发现了1000多变种,而在2005年,这个数字迅速上升到了3000多。
' W, ^0 q4 T( J+ G& l& `5 ?6 i- K: p+ l/ A0 K) P7 C7 j
' |1 v1 K D: v3 j7 k
小白:变种也太快了吧?!* ^0 v% V7 N- Q- I7 {
|4 Y ~$ j# f; z$ L+ b, \( R; D _* m4 W
大东:“灰鸽子”最大的危害在于潜伏在用户系统中,由于其使用的“反弹端口”原理,一些在局域网(企业网)中的用户也受到了“灰鸽子”的侵害,使得受害用户数大大提高。2004年的感染统计为103483人,而到2005年数字攀升到890321人。“灰鸽子”本身所具备的键盘记录、屏幕捕捉、文件上传下载和运行、摄像头控制等功能,将使用户没任何隐私可言,更可怕的是服务端高度隐藏自己,使受害者无从得知感染此病毒。: O: V" ^" j9 [- X' L' i; r
1 f A7 H7 e& d5 |9 x& k! F" i* A: g& ~/ ^9 H( z
小白:令人害怕!
7 D# F0 y6 O( W0 N* W & ~ f/ w: o0 d7 v9 P
三、灰鸽子病毒清除办法
) P7 B2 Q1 A) v+ ?3 M4 {) M( s9 U; s6 S2 D6 o
; V# a3 v. w- M# b' b大东: 但是利用一些检测方法就可以将灰鸽子揪出来。通过研究发现,无论自定义的服务器端文件名是什么,一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点,我们可以较为准确手工检测出灰鸽子服务端。
+ I( L& R4 X; g7 w6 m. F% j% I. S% G) O1 ?" o
- ]/ _/ [( f8 @" \; K9 p) n( N$ P" Z1 C
小白:那是把“_hook.dll”结尾的文件删掉就可以吗?* S5 V6 M0 P' r& M( @( ~3 z
9 Y* o0 C2 U/ X% ]; i. u$ p7 r
- A2 R2 D! T1 c. u! ]2 _大东:当然不是那么简单。由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模式下进行,而且要把Windows设置成显示所有文件。并打开Windows的“搜索文件”,文件名称输入“_hook.dll”,搜索位置选择Windows的安装目录(默认98/xp为C:\windows,2k/NT为C:\Winnt)。经过搜索,在Windows目录(不包含子目录)下发现了一个名为Game_Hook.dll的文件。+ u5 r' ?. T" v: E: L
8 k, e9 r7 X7 `/ O1 r6 b5 D8 p: C8 f2 O' O/ H
小白:这就是灰鸽子文件了吧!
0 T) X5 u0 r3 ^1 k0 r, s7 `+ M) l. h" K! b
3 V- q; I7 n; w大东:还不能确定。如果Game_Hook.DLL是灰鸽子的文件,则在操作系统安装目录下还会有Game.exe和Game.dll文件。这才是真正的灰鸽子的服务端,不能“冤枉”好人啊!: s' ]$ T: j) W& s2 s1 \
& W4 Z* B5 F# M1 m% |# F# s! g$ P+ N- b# {
Game.exe和Game.dll。图片来源于网络 8 ?1 I, Q/ N: B: _
! Z, Y* S) P$ Z& J8 U
% g' i7 c/ {6 g7 O: I- }小白:原来是在这样。把这几个文件删除就可以和灰鸽子病毒say goodbye了吧!
# \; y: V' s6 I) I5 g G. o( [7 x/ k0 T2 F& h0 U
6 m/ ]! D3 G! R% \9 N* w大东:总共有两步,这只是其中的一步。首先清除灰鸽子的服务,注意一定要在注册表里完成。清除灰鸽子的服务一定要先备份注册表,或者到纯DOS下将注册表文件更名,然后再去注册表删除灰鸽子的服务。因为病毒会和EXE文件进行关联。6 ~% F% ^# C% ?# n9 k' E7 q* K& g
- H2 a9 y! T ] D+ [5 F* P
4 Y4 n/ E4 R* ?6 R l小白:东哥,具体应该怎么做啊?教教我呗。
4 u) `* c$ e3 T Q6 W8 I1 r) H: k) y$ v6 {! R! t. n( }! t
, `( t4 M; Z7 t; F; B, f7 M( |大东:第一步打开注册表编辑器(点击“开始”- “运行”,输入“Regedit.exe”,确定。),打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。第二步点击菜单“编辑” “查找”—“查找目标”输入“game.exe”,点击确定,我们就可以找到灰鸽子的服务项(此例为Game_Server,每个人这个服务项名称是不同的)。第三步删除整个Game_Server项。
% a7 O& K$ A0 k3 [0 n' u . }5 B% U' h/ a8 @- t. M" j
) T3 t8 G! J, y' j5 j
查找game.exe。图片来源于网络 ! r; g1 ~ G) x# M/ G; ?0 X
: }% ~2 d( K, o& L" a6 U5 b
小白:这其中的第二步是不是就是我刚才说的删除Game.exe和Game.dll。
" P# m0 ^& N7 T
1 T/ }. g+ ?4 n9 x* n1 ?: k: a! H5 L8 C1 L7 i. c5 N& Z* l% Q7 P
大东:bingo!你只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件,然后重新启动计算机,就彻底告别灰鸽子病毒了。- P" D9 k/ }6 u: P! l
' Q. W1 e$ M/ Y+ Q) c1 a$ t3 Y
四、防范措施
) T- [5 W9 }7 z
3 B, B9 u/ |3 L: s& n小白:东哥,那该如何防范灰鸽子这类病毒呢?
0 y4 @0 \ ?, ?# s5 G/ i
9 z8 h1 Y' D3 B$ Z
1 }0 u+ p: U* ]' r9 \% D9 s大东:有些办法虽然有些原始,但总是最好用的。比如说给系统安装补丁程序。通过Windows Update安装好系统补丁程序(关键更新、安全更新和Service pack)。
" p3 l- m! c' L! Z4 s% B" m+ k0 C9 P/ u7 }8 e" s0 j' L
7 O( x( i ]% f& i1 c3 f4 X; k( S
小白:东哥,我们老说打补丁,补丁的专业解释是什么呀?我们为什么要定期打补丁呢?8 n/ h& D2 q! A, G+ P3 A8 H! h9 x& B& `
( Q7 B* L5 M) O. ?
4 \, L, m: K2 v* X
大东:补丁就是操作系统的不定期错误漏洞修复程序。一般在开发过程中,一开始有很多因素是没有考虑到的,但是随着时间的推移,存在的漏洞问题会慢慢被发现。这时候,为了对系统本身存在的漏洞问题进行修复,系统开发者会发布相应的补丁。黑客如果利用这些漏洞,就可以得到计算机的控制权。$ B4 S' K H$ d& p. V5 v
, Q/ p) R& @ G' Y' y- e0 w5 E3 V
小白:东哥,还有类似的“原始”方法吗?
, h' q7 }- {% R' j , x! |% H3 {/ G, m" V8 X% {# ]
M5 ~' S" H, G8 Q! J
. C- n) U1 K% J/ Z) ~. \
3 T" U; V0 b0 M2 b# E' V大东:给系统管理员帐户设置足够复杂足够强壮的密码,最好能是10位以上,字母+数字+其它符号的组合;也可以禁用/删除一些不使用的帐户。如果记忆力够好,经常改变密码也是也是个不错的选择。. |; Y1 E+ u. \- k$ ^
: ]/ L/ [- G/ @; `2 s
4 n# x6 c- i2 a- x7 ^7 x
小白:对,比如说我就经常换密码。- F1 J2 |: w8 x- G
4 b3 i/ K$ A- Q
7 x$ d' s8 @$ j9 F: R2 _
大东:哎,不过你也总是忘记密码。不过单纯地讲,换密码这个习惯还是不错的。- i6 o2 ?3 W% F& M
5 R* r7 `+ I8 H9 D6 k6 U/ u, ~
% g( |# x1 q4 B0 @! X8 Y
小白:东哥,你总揭我老底,就不能给我留点面子嘛?7 c- H" Y2 g* h, d u( q2 v, D
8 j3 u& _2 M. C6 m, S/ K8 b6 _2 H
, C# q6 ~1 |- @' l: b. q大东:(装作听不见的样子) 嗯,我们继续说防范的方法。经常更新杀毒软件(病毒库),安装并合理使用网络防火墙软件是十分必要的。网络防火墙在防病毒过程中起到至关重要的作用,能有效地阻挡自来网络的攻击和病毒的入侵。
. p0 j7 X7 R+ Q* E# m
6 O$ _1 ^2 e% C- p9 R' \5 S) L# D0 U: K
小白:东哥,还有吗?
0 {0 B6 G9 M" e" x* j$ s! f: M# u! o* i! d% p
5 V0 D0 K! X8 J( ] w8 C' m大东:关闭一些不需要的服务,条件允许的话可以关闭没有必要的共享,也包括C$、D$等管理共享。完全单机的用户可直接关闭Server服务。$ v$ r$ D* B% I
$ ^$ U3 C0 A3 a4 [# d4 P/ x
$ A, c' _. J* P2 O& Y# d小白:懂了。东哥,通过你刚才的讲解,我回忆起来了许多东西。& \7 G& T% C" y) V' \5 [' l
+ N: ^- a+ v9 Z
, I! r9 H4 T6 ^0 f大东:温故而知新嘛!$ m' V5 w- c* d
) V A t( k2 \! v- l& T! q
4 c O" V# {' G9 W ~$ i来源:中国科学院计算技术研究所
g! |) |( \" J+ J: L) C- q
/ k* q/ [ z, _. [: N; ^* r+ {+ x
7 o7 m; P) g5 O& w, s& ]% b温馨提示:近期,微信公众号信息流改版。每个用户可以设置 常读订阅号,这些订阅号将以大卡片的形式展示。因此,如果不想错过“中科院之声”的文章,你一定要进行以下操作:进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」
9 P0 w1 G& X: Y" Q: Z$ N0 ~0 a) z4 |- I& b8 Q( q2 P
5 L( i. Q+ Z }, i0 U" ]! r$ D# }
5 R' R, n g b! s+ V
( a# e- \9 S; [/ J
! ?! l2 |0 M6 Q1 d- @
4 l, p0 _: I- j: \ u* R, o! D' A来源:http://mp.weixin.qq.com/s?src=11×tamp=1574510402&ver=1992&signature=Tvxe-dv0Pli2WOy8jx6-Hw7rnv9HYpasycZdOiA27ix8cPjxnROs0K1kkvdUU-4qOv15U3svsKSNcI-QAj5BtJGG0rX5r4iFdLPgzGOu9EXoWlxVCaXxE1chtktOJjK2&new=1
4 A* S; b1 o- ^3 q* I- S. M9 ]免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?立即注册
×
|