|
|
一、灰鸽子病毒事件
) b+ x. r# _" d. q. n9 ]- Q2 u( J2 M+ n+ C4 c
! v( K1 y; d* D* s7 |/ C) F. i+ A% T小白:东哥,我最近弄了个新鲜的东西,可以远程控制我家的家电,例如空调,电视,冰箱……
a* ], ?+ _+ F" z# g: t
& ^) M0 n- B' |
# x0 g+ K' f5 @( Z' J; z大东:嗯,这个不错!
* ]* p) O: @5 n J- }( s" ]4 a + R6 ` B1 Y( b$ x: \+ Y. k
4 N& l H' P3 S* Q1 L" m# M8 @' E
手机远程控制空调。图片来源于网络
+ ~. k3 K# b: K% @' |2 M- r- G, K& ]' {7 Z- q9 k
7 g. ?. H% G8 Q5 y小白: 是啊,最便捷的是有手机、有WIFI就可以实现远程控制功能。
9 F6 C$ B6 M4 A/ O _9 Q% U* s, V9 J8 R1 j2 Y8 I
+ s4 Q$ v; S: h! A1 r大东:等一下,便捷中往往隐藏着“邪恶”,你可要小心灰鸽子病毒啊!- w3 P6 J( N$ Y: F
: F- i: o0 o# p# c; n8 I' E- x9 k! Y
3 [- {6 q: P3 ^
小白:灰鸽子病毒?" {. t2 A, a) L$ I; a
4 b$ Z3 w7 O4 o0 C" a9 n% q) H6 B0 H R
大东:是的。灰鸽子本身是一款远程控制软件,但是因为恶意使用,又被认为是一个集多种控制方法于一体的木马病毒,一旦用户电脑不幸感染,可以说用户的一举一动都在黑客的监控之下,要窃取账号、密码、照片、重要文件都轻而易举。6 W3 P- v7 B4 U8 R. k$ Z
8 q4 C. Y% Z- Y' a3 F1 h( A! e; u
1 \5 o- x. g% r小白:我的天啊,那我的隐私岂不是完全暴露在大家的面前了?!; w- |' e+ }: H5 d3 |
* Z4 s t9 x D3 i6 ~2 _) Y
- _1 Q% S9 F, [7 t大东:不仅如此,他们还可以连续捕获远程电脑屏幕,还能监控被控电脑上的摄像头,自动开机(不开显示器)并利用摄像头进行录像。
- `* W$ K, C0 W, }
( ~" ?9 J' v' E7 r; i& B i9 X# X
小白:简直是太可怕了!假如我没洗头、没洗脸、穿着邋遢衣服的样子被拍了下来,上传到网上的话……
$ U6 X) Q$ D0 K
4 w0 r0 I* z4 j9 c: e! i% p2 Q* v" L; L
* x! ]% ~) [; }# r" ^" d6 l4 i0 l$ s5 C
大东:emmmmm……你这个颜值估计上传了也没人看。我们言归正传,继续说灰鸽子的事。随着“灰鸽子2007”的发布,当年仅3月1日至13日,金山毒霸截获的灰鸽子变种数就达到521个。盗号、偷窥、敲诈以及骇人听闻的公开“叫卖”,危害更甚于熊猫烧香。
& Q% w( J# Z3 O. Y E2 E" Y: r) L1 h( N; |
/ D' t- p+ h& | L. J9 ]小白:这群人简直太可恶了!2 w& {# M, E# O! e' A
2 E+ h: {( H9 q ~$ s) S# n3 z% ?2 @- \; d& W: Q0 J! L
大东:而且灰鸽子已不再是一个单纯的病毒,其背后是一条制造病毒、贩卖病毒、病毒培训为一体的黑色产业链,从某种意义上讲,灰鸽子的危害超出熊猫烧香10倍!
" g# t C3 q+ R# v# J
! g' R! k, S$ u u* ?: _/ U- b3 p. [. v. Q# f! }
灰鸽子产业链示意图。图片来源于网络
' P$ X9 g7 q1 y9 |: h* a7 C4 r6 n9 n) i8 g. `( E& S* ?9 Z
小白:东哥,那我们就拿灰鸽子一点办法都没有吗?
! u, O) I5 B8 ^& U$ }, ?
" t) O; m9 E: k$ ~6 H+ ~
4 P0 x c ^* ^大东:灰鸽子虽然强大,但它并不是完美无缺的。让我为你解析一下这个难缠的病毒。; r: y0 j5 A+ {" e- k3 s G9 e
# |% L4 ~/ P- ^5 y" E
二、灰鸽子病毒发展史% p4 ^ Q v) I G, H9 o
8 A: I- }8 P$ \6 j. o
- c1 z5 t5 f6 {大东:先来说说灰鸽子病毒的发展史吧。
7 e3 W, R; A5 ^4 J! N* U
5 d/ o8 E6 q1 v$ w' ?4 n. _0 |0 Q6 E. ?
小白:好呀,我最喜欢听历史了。3 L6 `3 W+ Y8 T5 u' X% h
7 D' L0 |0 `" J
' x5 |( }) Z# T0 ?) a# T, {4 q& G
大东:灰鸽子病毒发展分三个时期:诞生期、模仿期、飞速发展期。" f( f! {& Y' w B4 i7 `
3 K* }9 |" c: X) N$ A( S2 i4 Q8 K5 G
$ Q" \% G6 g5 }/ ?& t- v* [
小白:先说说诞生期吧。
# q3 {8 U9 L$ }; v& T% J$ m( U/ z
7 C4 f! }+ g6 t* p% P大东:诞生期自2001年,灰鸽子诞生之日起,就被反病毒专业人士判定为最具危险性的后门程序,并引发安全领域的高度关注。2004年、2005年、2006年,灰鸽子木马连续三年被国内各大杀毒厂商评选为年度十大病毒,灰鸽子也因此声名大噪,逐步成为媒体以及网民关注的焦点。
2 }( [! Q r3 W$ h# W# o8 |( H) D
( W3 r8 ?5 A3 c9 K9 A" b; {# D: m9 y* u0 _6 X ^3 v& Q& j" O
小白:最具危险性的后门程序,听上去很厉害嘛。
6 ~8 q! ]% N8 d% V% o, C* I6 u1 q+ `/ Q/ p1 r7 `3 w
s# u0 X* h, d6 S
大东:模仿时期,灰鸽子最早出现的时候是在模仿“冰河”。它采用Delphi编写,采用了源码共享的方式出现在互联网。虽然“灰鸽子”在当时的名气不及“冰河”,但由于开放源码的方式让“灰鸽子”逐渐增大了传播量。8 A z5 l( V! n( C0 M" P" [
9 M9 L, } y8 y1 b; K+ g$ e; ^2 q2 @: X7 _# K4 R9 U( ]
小白:这么说来冰河是灰鸽子的“前辈”啦!那冰河也是远程控制软件吗?
( X/ f8 h0 k/ a4 N7 D6 I( a2 M7 F4 x3 w) S2 ?! @* U
* m( |; `# P: ]2 B# {5 X% C& l) Z
大东:是的。冰河的可怕之处在于自动跟踪目标机屏幕变化,同时可以完全模拟键盘及鼠标输入、记录各种口令信息。还包括获取系统信息,例如计算机名、注册公司、当前用户等多项系统数据。远程关机、远程重启计算机、锁定鼠标及锁定注册表等多项功能限制也是他的拿手强项。. d* C% j( T0 l6 X/ J, t1 z9 L9 Z
; A' E' ^# x' e) A* ^; T4 ?
; M5 W; G: T7 z" X
小白:说远了,该说灰鸽子病毒飞速发展时期了。! p/ d0 `) x, w$ v0 M% Z. ^
8 @& |' @. t& A9 ~; U
& s' h- R0 }. U$ m5 s大东:2004和2005这两年之间,灰鸽子逐步进入了成熟的状态,由于源码的释放,大量变种在互联网中衍生。2004年灰鸽子总共发现了1000多变种,而在2005年,这个数字迅速上升到了3000多。
" h- a4 b# v& l: ` z! F3 ]7 @! o% U# e
; n2 h! n, D$ X
小白:变种也太快了吧?!
( d" \' v6 P- ^7 ^; \* r# ^) M3 e, o: ^- a
8 H* x2 }9 d6 P1 W5 V: ]- d d大东:“灰鸽子”最大的危害在于潜伏在用户系统中,由于其使用的“反弹端口”原理,一些在局域网(企业网)中的用户也受到了“灰鸽子”的侵害,使得受害用户数大大提高。2004年的感染统计为103483人,而到2005年数字攀升到890321人。“灰鸽子”本身所具备的键盘记录、屏幕捕捉、文件上传下载和运行、摄像头控制等功能,将使用户没任何隐私可言,更可怕的是服务端高度隐藏自己,使受害者无从得知感染此病毒。7 c/ A' H$ t9 X5 Q
6 ]( G3 h/ q4 O" @; y) N. ?6 ?( E$ Q! @) ?! |: w0 C
小白:令人害怕!1 k% e# M6 a/ ^6 d2 b5 _1 i
* N1 @( | j" l* s
三、灰鸽子病毒清除办法7 ~( s/ F: G" f; f ]# V
^; ^( H, J- N' [9 c9 I
- g7 P& ?, x5 v1 e& P! t6 p& k大东: 但是利用一些检测方法就可以将灰鸽子揪出来。通过研究发现,无论自定义的服务器端文件名是什么,一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点,我们可以较为准确手工检测出灰鸽子服务端。
- R0 l8 l2 p; s% u* Q* E+ `5 s: ]6 V4 J7 e' i& A( W b3 y
3 s5 q( T2 i! U: H. q% y+ D
小白:那是把“_hook.dll”结尾的文件删掉就可以吗?
6 _1 u9 H) W2 \) y( c( h5 W) r+ ]9 T2 }, {* _" V
0 l, Y8 q7 H) g0 f
大东:当然不是那么简单。由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模式下进行,而且要把Windows设置成显示所有文件。并打开Windows的“搜索文件”,文件名称输入“_hook.dll”,搜索位置选择Windows的安装目录(默认98/xp为C:\windows,2k/NT为C:\Winnt)。经过搜索,在Windows目录(不包含子目录)下发现了一个名为Game_Hook.dll的文件。2 z/ {" E5 \' p$ m- }
# z1 q' A5 v* k* P+ `
2 U9 C( e: G" l/ T小白:这就是灰鸽子文件了吧!0 X$ E* i1 s( U! J8 x
% @+ \, Q& v( q# y. [& q6 n9 e+ l- z
% }7 q+ k$ K7 h! _0 q; T
大东:还不能确定。如果Game_Hook.DLL是灰鸽子的文件,则在操作系统安装目录下还会有Game.exe和Game.dll文件。这才是真正的灰鸽子的服务端,不能“冤枉”好人啊!
: U$ W1 Y. R( Q2 p. M
: I* I- n* T1 x6 O+ c0 T% N
3 i8 j/ _6 V0 w" H* Y) }Game.exe和Game.dll。图片来源于网络 ' c \" R# }/ h3 J" a& x/ {
/ _- v J# H: Q( c( o3 a* J( y
. Y" Y- L& { P0 @小白:原来是在这样。把这几个文件删除就可以和灰鸽子病毒say goodbye了吧!
3 n: `3 z$ s2 P
8 q: k2 J( x% i' P/ K# B2 L7 C: N
: `5 y4 }0 A' z+ Z大东:总共有两步,这只是其中的一步。首先清除灰鸽子的服务,注意一定要在注册表里完成。清除灰鸽子的服务一定要先备份注册表,或者到纯DOS下将注册表文件更名,然后再去注册表删除灰鸽子的服务。因为病毒会和EXE文件进行关联。! w% S+ [( i! _# w* Y! o
{+ d* f5 q8 \. T
( t* O$ [0 g8 |2 D
小白:东哥,具体应该怎么做啊?教教我呗。
2 c+ b! w' l( N V1 o; }- T3 I8 [+ e% X8 l. g8 ^) p
% ^% f; N5 {' G, F2 o% Z大东:第一步打开注册表编辑器(点击“开始”- “运行”,输入“Regedit.exe”,确定。),打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。第二步点击菜单“编辑” “查找”—“查找目标”输入“game.exe”,点击确定,我们就可以找到灰鸽子的服务项(此例为Game_Server,每个人这个服务项名称是不同的)。第三步删除整个Game_Server项。! l r4 |: d6 [* w$ c" q% l, y+ R: y
* \$ _( L1 u; X/ ]7 l2 G
* a. N" ~. x, |. ?查找game.exe。图片来源于网络
, V K" y! i" e4 p, [5 G6 e% K, j* V
小白:这其中的第二步是不是就是我刚才说的删除Game.exe和Game.dll。
9 |3 P4 ?2 s' C/ }; o+ z* D8 ?+ o0 A: A
t) ]8 S# [ X$ U大东:bingo!你只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件,然后重新启动计算机,就彻底告别灰鸽子病毒了。" {# m& x7 _. X
W$ E! N; ?; H四、防范措施
/ }: V; F/ O, [$ ] r8 Q
: m, H. y# R: C: x小白:东哥,那该如何防范灰鸽子这类病毒呢?7 Q) R6 q1 m7 |- Y; p O
! \4 |0 C6 W* D: b2 _# y; x+ r; F
7 G8 ]1 C1 F2 W0 ~; x
大东:有些办法虽然有些原始,但总是最好用的。比如说给系统安装补丁程序。通过Windows Update安装好系统补丁程序(关键更新、安全更新和Service pack)。; i- b0 b+ V# b
; e% p4 c2 {! S
6 `" m6 \+ P) m E! x& ]& @: R小白:东哥,我们老说打补丁,补丁的专业解释是什么呀?我们为什么要定期打补丁呢?
; j$ u. R+ O# F' N0 k- D; U; ?9 D7 D0 t$ U
" F! t3 ~8 j( M) }6 w2 Y& h大东:补丁就是操作系统的不定期错误漏洞修复程序。一般在开发过程中,一开始有很多因素是没有考虑到的,但是随着时间的推移,存在的漏洞问题会慢慢被发现。这时候,为了对系统本身存在的漏洞问题进行修复,系统开发者会发布相应的补丁。黑客如果利用这些漏洞,就可以得到计算机的控制权。+ g/ W, e9 c; b! {- @- I
, U$ s; Y: g6 |/ X' v0 U+ I( W
) m% \4 _' l C小白:东哥,还有类似的“原始”方法吗?
% s" b" r% ?/ @ $ H# B9 g3 I* r8 {
$ U' L! N9 I } X; z0 I. c7 ~* W6 x0 a+ C
8 ^9 `; a4 J6 l+ j2 U4 M' O大东:给系统管理员帐户设置足够复杂足够强壮的密码,最好能是10位以上,字母+数字+其它符号的组合;也可以禁用/删除一些不使用的帐户。如果记忆力够好,经常改变密码也是也是个不错的选择。
) h* M o% U$ l' i3 p) [. V/ i5 E& |7 K; T
9 a, a, E$ i# l% r
小白:对,比如说我就经常换密码。
0 U; Z/ [9 V7 h: u% @! |( x7 W2 D0 r8 j+ K) b
# y v7 K" D: V" p& a# O5 L) k8 H大东:哎,不过你也总是忘记密码。不过单纯地讲,换密码这个习惯还是不错的。 J1 ?7 r% t. u9 _
8 C$ O& Z/ y1 r6 N6 U
{. u$ K) y: e: ]# J* E3 \% o0 X小白:东哥,你总揭我老底,就不能给我留点面子嘛?
) i0 B: E7 U! K7 {$ R$ y0 ^0 i2 \5 K& n
$ r2 v& b7 v7 n$ W _7 v
大东:(装作听不见的样子) 嗯,我们继续说防范的方法。经常更新杀毒软件(病毒库),安装并合理使用网络防火墙软件是十分必要的。网络防火墙在防病毒过程中起到至关重要的作用,能有效地阻挡自来网络的攻击和病毒的入侵。$ B3 u) N5 M2 Z# j
& q: l6 ^8 d( n" c. t2 r1 I) W5 L
. v1 P% k& W. p7 n% W- f6 c! T0 R
小白:东哥,还有吗?0 P& F) z( d0 {
5 D Z( e; E* V8 J. C7 e7 X: _! J8 p3 }3 \
大东:关闭一些不需要的服务,条件允许的话可以关闭没有必要的共享,也包括C$、D$等管理共享。完全单机的用户可直接关闭Server服务。7 ?7 ?; p1 f" x4 o" k
: s/ ]& j6 s( r) s0 T
, W# o( V* |& Q# P小白:懂了。东哥,通过你刚才的讲解,我回忆起来了许多东西。
% [. V) @: D5 H+ `' D# w
& w5 G! O7 y* o2 h6 Y. | u
3 _# Z6 d' Q9 s大东:温故而知新嘛!1 q7 g7 a0 R# g9 w9 y. U' J/ g
0 }" G% \* @6 [7 a* _- _4 y0 ~( e7 L# s5 _* C
来源:中国科学院计算技术研究所
8 D- U% @3 D% T- m& F# V: ]8 m, O3 e: M1 H) O& r& [* L4 B
- d* _& g( p% I& e% a
温馨提示:近期,微信公众号信息流改版。每个用户可以设置 常读订阅号,这些订阅号将以大卡片的形式展示。因此,如果不想错过“中科院之声”的文章,你一定要进行以下操作:进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」
4 o1 M" _7 l2 l6 }$ D3 T
- M" d5 e. o" O- U. Y6 ~6 O
) l% p8 E( T. q! R1 h6 E& _3 b4 c9 ]$ K6 j: d4 x7 G
: g( \- d$ g* X9 j: j$ c
/ U) C" D9 `% Z9 _6 C( y! Q9 J% o. r) g: a
来源:http://mp.weixin.qq.com/s?src=11×tamp=1574510402&ver=1992&signature=Tvxe-dv0Pli2WOy8jx6-Hw7rnv9HYpasycZdOiA27ix8cPjxnROs0K1kkvdUU-4qOv15U3svsKSNcI-QAj5BtJGG0rX5r4iFdLPgzGOu9EXoWlxVCaXxE1chtktOJjK2&new=1
5 Q& z# L, L( G+ }! s免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?立即注册
×
|
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-11-23 20:40:29
