|
|
一、灰鸽子病毒事件5 [% I( @) ^9 I) r
7 w1 W3 W$ r. @$ ?5 }
8 Y# Z( ~) u! O6 `" Y+ U
小白:东哥,我最近弄了个新鲜的东西,可以远程控制我家的家电,例如空调,电视,冰箱……
, P+ T0 Z7 S% [# Y. I- R$ Z' Z
% Y! Z$ \3 p- l7 z7 R大东:嗯,这个不错!7 f V* B; j/ \% K+ N& G7 X0 T+ m
5 M; T* e; ^5 Q4 V0 t% o; c
3 g. ?1 @- d/ C& ^- g9 B" o手机远程控制空调。图片来源于网络 7 F$ J- [8 [! a, u; F; D
) d! J ^! ^' o! b; M( `5 e: J" T3 f
% t( o6 g0 x7 M' ~6 R x8 h; g小白: 是啊,最便捷的是有手机、有WIFI就可以实现远程控制功能。
& s9 |2 P4 w/ H' g* |0 q9 _1 b$ f0 n% Q8 l8 d! K; ~: h! H& M4 ^4 F
2 m/ R7 A3 M0 P. E! @8 j大东:等一下,便捷中往往隐藏着“邪恶”,你可要小心灰鸽子病毒啊!
1 C: `! O1 N/ J4 Q& C& Z
9 s/ @5 m3 d1 W4 t: M; Q, i+ X% U# n2 z" t& V8 c4 x" i
小白:灰鸽子病毒?
; Y$ g' g/ p/ ]9 F/ ?1 I Z! [+ O) m4 b
" f+ Q9 B$ _' g/ j% T; C& c大东:是的。灰鸽子本身是一款远程控制软件,但是因为恶意使用,又被认为是一个集多种控制方法于一体的木马病毒,一旦用户电脑不幸感染,可以说用户的一举一动都在黑客的监控之下,要窃取账号、密码、照片、重要文件都轻而易举。
+ S6 ]" r+ r; c3 q
. n6 A9 ^( }- G f; L5 R3 z; X: A
& l/ q) M7 G/ v小白:我的天啊,那我的隐私岂不是完全暴露在大家的面前了?!
, K% j; i3 l: [- K- c3 K4 ~
$ u F$ r! G7 V0 J$ V+ w& X
' N3 m4 V" v% S- [0 T- p5 l u大东:不仅如此,他们还可以连续捕获远程电脑屏幕,还能监控被控电脑上的摄像头,自动开机(不开显示器)并利用摄像头进行录像。7 M! @; R C8 N6 O
4 J# u( s% Z' c1 d9 w3 |3 \( J& y. U
; q2 {# c6 K# {; w3 v1 L小白:简直是太可怕了!假如我没洗头、没洗脸、穿着邋遢衣服的样子被拍了下来,上传到网上的话……
% u) ^+ |& A- T( c8 r" M D7 u 7 z8 X& W" ~3 O. d2 r0 {* }
1 z) f9 B+ K4 [) _! K% A/ {8 u# \
, T( o" E! c% b' Q
/ E/ }3 z- c4 R" Q5 C6 C; ]
大东:emmmmm……你这个颜值估计上传了也没人看。我们言归正传,继续说灰鸽子的事。随着“灰鸽子2007”的发布,当年仅3月1日至13日,金山毒霸截获的灰鸽子变种数就达到521个。盗号、偷窥、敲诈以及骇人听闻的公开“叫卖”,危害更甚于熊猫烧香。
# N" |/ j2 ?+ y9 |5 T" v4 x) C
5 T Q G7 h" h/ ?
$ D6 O% y0 j E I6 e小白:这群人简直太可恶了!
+ a9 R5 u1 @9 F/ ?9 {$ H% r5 h4 j4 V, x: o1 X6 T
1 v4 t) H4 ~ t4 v) a8 I |大东:而且灰鸽子已不再是一个单纯的病毒,其背后是一条制造病毒、贩卖病毒、病毒培训为一体的黑色产业链,从某种意义上讲,灰鸽子的危害超出熊猫烧香10倍! , c" H, T+ ?+ \ M* d
$ ^9 ~/ ?0 @6 t! p
% o! x6 m2 @, @/ Y" Y, h3 S+ B灰鸽子产业链示意图。图片来源于网络 6 H& ]2 V" v! {- x
# c3 |; c) C, B& t/ v9 d0 [
小白:东哥,那我们就拿灰鸽子一点办法都没有吗?
. W' M- U. E+ D! F& j a/ C6 d1 j3 M% \% \
' z6 z& ]* b* q0 z: J p! v大东:灰鸽子虽然强大,但它并不是完美无缺的。让我为你解析一下这个难缠的病毒。
) B# z; p# ^7 Z/ S8 I9 U9 t" Q
* k3 [# E( U1 s二、灰鸽子病毒发展史
) z: d X4 w( K' ^. M
}: @$ F' i8 i! D. U. h4 ]
4 T3 m& q9 O; n. b大东:先来说说灰鸽子病毒的发展史吧。+ Y) p; @( x( F* `8 p
$ q( |# O. g# q6 w
0 k s( H" i" C# m' X$ k; z4 t s小白:好呀,我最喜欢听历史了。7 @1 S& S$ v [1 U% \* l6 T5 @
7 Y Q" I3 m0 J3 I" a# n5 S6 m/ M3 l# y9 d) ?
大东:灰鸽子病毒发展分三个时期:诞生期、模仿期、飞速发展期。, L8 J6 R M& N5 y% Z: B7 d8 p. C
1 Q7 M8 g; }- W+ \0 Q# F% e1 X8 Z
" J5 H! t1 \+ j小白:先说说诞生期吧。
8 r0 g9 k# L0 r# z2 I
]$ v: t5 k" N9 E3 T% U+ `- c; ]) Z
大东:诞生期自2001年,灰鸽子诞生之日起,就被反病毒专业人士判定为最具危险性的后门程序,并引发安全领域的高度关注。2004年、2005年、2006年,灰鸽子木马连续三年被国内各大杀毒厂商评选为年度十大病毒,灰鸽子也因此声名大噪,逐步成为媒体以及网民关注的焦点。8 I8 H) ^ v- k/ _8 M% `
, D1 T$ I4 B1 H7 V6 k! \1 o
2 J2 d9 D6 a# c3 I小白:最具危险性的后门程序,听上去很厉害嘛。
, E$ k [/ K+ r' v& i" F- C9 n. B6 Q2 h, n4 j
- c2 A6 J5 Q3 X* j大东:模仿时期,灰鸽子最早出现的时候是在模仿“冰河”。它采用Delphi编写,采用了源码共享的方式出现在互联网。虽然“灰鸽子”在当时的名气不及“冰河”,但由于开放源码的方式让“灰鸽子”逐渐增大了传播量。) f9 ^! h2 g3 Q/ H0 a
: }0 C" O7 i2 I7 ~" E/ Y/ B# r5 a9 M: M- _0 t/ H
小白:这么说来冰河是灰鸽子的“前辈”啦!那冰河也是远程控制软件吗?! l1 l* [1 ^7 I- @' R
+ O, x2 H2 x% j* A$ e* G; _1 D1 i! ~1 b: E+ ]$ G
大东:是的。冰河的可怕之处在于自动跟踪目标机屏幕变化,同时可以完全模拟键盘及鼠标输入、记录各种口令信息。还包括获取系统信息,例如计算机名、注册公司、当前用户等多项系统数据。远程关机、远程重启计算机、锁定鼠标及锁定注册表等多项功能限制也是他的拿手强项。6 L: c& e# k% H |) ?
- {9 q: L6 u. X) ]( J# V, @& K/ j
小白:说远了,该说灰鸽子病毒飞速发展时期了。
7 I# z, E5 O! V: R* x8 C2 a0 R! s; V! J2 S- D
6 m+ _4 b' H- P( w* V
大东:2004和2005这两年之间,灰鸽子逐步进入了成熟的状态,由于源码的释放,大量变种在互联网中衍生。2004年灰鸽子总共发现了1000多变种,而在2005年,这个数字迅速上升到了3000多。) M8 t0 j6 I" t; }6 E3 M
; a7 {" H& F' {5 \! S# _0 u
$ E* [3 v* A7 u; X# o小白:变种也太快了吧?!
7 o1 L4 y1 o4 p6 d u
4 L+ f2 A3 g5 K0 c* i" k: @: ~. a) z6 S
大东:“灰鸽子”最大的危害在于潜伏在用户系统中,由于其使用的“反弹端口”原理,一些在局域网(企业网)中的用户也受到了“灰鸽子”的侵害,使得受害用户数大大提高。2004年的感染统计为103483人,而到2005年数字攀升到890321人。“灰鸽子”本身所具备的键盘记录、屏幕捕捉、文件上传下载和运行、摄像头控制等功能,将使用户没任何隐私可言,更可怕的是服务端高度隐藏自己,使受害者无从得知感染此病毒。
8 T2 f5 T) R- h0 W2 K6 w- {
. m6 g7 ?& S! u! |- d' O: Q( V; b+ I$ V
小白:令人害怕!
9 w1 N- ]* M$ v, b; i ; X) {' H5 y& k3 |
三、灰鸽子病毒清除办法 h5 j7 b0 A; @8 f' l) ~' q4 w" n& H
2 c, E) ^, E2 T! O( @& O% g" w
7 p7 z; |& [, w' K; h/ R大东: 但是利用一些检测方法就可以将灰鸽子揪出来。通过研究发现,无论自定义的服务器端文件名是什么,一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点,我们可以较为准确手工检测出灰鸽子服务端。% B- ` W# d, b$ A( W+ V" u7 E& s
2 P3 A; n; O9 V8 A+ v1 g& x1 {
; T1 H% J2 I6 G3 G( C小白:那是把“_hook.dll”结尾的文件删掉就可以吗?
$ E& s5 z' R" ^. [8 O" f7 Z5 K7 }" ?' ^* `; b
8 ]2 \# r. x# l) Q; S& i: L' R* C大东:当然不是那么简单。由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模式下进行,而且要把Windows设置成显示所有文件。并打开Windows的“搜索文件”,文件名称输入“_hook.dll”,搜索位置选择Windows的安装目录(默认98/xp为C:\windows,2k/NT为C:\Winnt)。经过搜索,在Windows目录(不包含子目录)下发现了一个名为Game_Hook.dll的文件。
) U% L4 w/ l( b. c4 ~( [% y0 s
" V) J3 Y D5 s) l2 H" n: x t2 J) {; R% J/ ]8 I
小白:这就是灰鸽子文件了吧!0 g( Q# H ]! H( S+ I
* j5 K" w1 t& L6 d/ q4 m+ N3 `- S) c6 T$ l# f$ \6 Y
大东:还不能确定。如果Game_Hook.DLL是灰鸽子的文件,则在操作系统安装目录下还会有Game.exe和Game.dll文件。这才是真正的灰鸽子的服务端,不能“冤枉”好人啊!& ?! g: z1 I9 ?( l3 v" t5 s) |
1 a6 D* ]& N8 N! C& F; p% m/ S: @( \
/ E3 Y; P5 f4 Q y: U6 z) LGame.exe和Game.dll。图片来源于网络 7 \7 Z& `" C) j' X, A
' S5 E, w! ?2 t/ c% `" L& d
. D5 M7 s3 c: ^8 T+ N' x
小白:原来是在这样。把这几个文件删除就可以和灰鸽子病毒say goodbye了吧!
4 u# B5 U2 {. y, M/ g {/ S: H4 d, K* Z
- q: Z u: R( n- a4 D! K- I大东:总共有两步,这只是其中的一步。首先清除灰鸽子的服务,注意一定要在注册表里完成。清除灰鸽子的服务一定要先备份注册表,或者到纯DOS下将注册表文件更名,然后再去注册表删除灰鸽子的服务。因为病毒会和EXE文件进行关联。
- g# P3 c! Y) Z9 E7 P$ @; M& _- I5 j' d, L4 O+ N0 r
. |1 W3 b8 j8 Q5 [+ J- l
小白:东哥,具体应该怎么做啊?教教我呗。: K3 I* |7 k4 Z; U7 D
j8 ^' e' V) D+ @
0 s3 c- Q3 P" v# Y. n; g! p5 [6 z大东:第一步打开注册表编辑器(点击“开始”- “运行”,输入“Regedit.exe”,确定。),打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。第二步点击菜单“编辑” “查找”—“查找目标”输入“game.exe”,点击确定,我们就可以找到灰鸽子的服务项(此例为Game_Server,每个人这个服务项名称是不同的)。第三步删除整个Game_Server项。, i9 ]3 k2 W4 Z5 c% M
! Z. |2 z4 o, F5 z4 @+ I" V
& p( H6 Q$ x$ j, k( c- f
查找game.exe。图片来源于网络 % _% ]' o# z$ u+ `2 |( Y$ K& f$ A
1 P" Y; F9 _7 l5 H& G) K
小白:这其中的第二步是不是就是我刚才说的删除Game.exe和Game.dll。: x; F+ S5 m+ b) `9 d
3 p9 b/ p# y' i# U1 J+ _
# ?3 w* J7 N8 Q, k) m1 o4 o
大东:bingo!你只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件,然后重新启动计算机,就彻底告别灰鸽子病毒了。! b$ K2 r: a; x
# `% X' M" u3 }/ V3 z
四、防范措施3 l5 ^; u& o) r" v! T2 G! F% X( D
, X! L( b( z* i# @' J0 ?& s小白:东哥,那该如何防范灰鸽子这类病毒呢?
f$ H- d, c1 X* g9 r1 G
' b0 Y8 N" ]9 m K* x* G9 I- G; Z1 }
大东:有些办法虽然有些原始,但总是最好用的。比如说给系统安装补丁程序。通过Windows Update安装好系统补丁程序(关键更新、安全更新和Service pack)。
. o! r4 }$ \# k% }7 c5 D/ E0 x' e$ A* F7 I. I3 O
' F$ @- \/ ~1 t) U3 [6 m/ B1 q: S p小白:东哥,我们老说打补丁,补丁的专业解释是什么呀?我们为什么要定期打补丁呢?3 s) }$ @# W2 P. Q
/ t4 S$ e1 _) n; A; X) }+ S* C
m; R$ U6 O* S$ p# P
大东:补丁就是操作系统的不定期错误漏洞修复程序。一般在开发过程中,一开始有很多因素是没有考虑到的,但是随着时间的推移,存在的漏洞问题会慢慢被发现。这时候,为了对系统本身存在的漏洞问题进行修复,系统开发者会发布相应的补丁。黑客如果利用这些漏洞,就可以得到计算机的控制权。& n4 r2 W. @* [, o1 T! r# q' `
) |4 ?/ b, A, P! h+ C' N
4 W+ `, Q7 N' F9 X" ]' {" k小白:东哥,还有类似的“原始”方法吗?
; t* }( R7 N7 ~8 t
- w# D, B) W! v# h- @- g( S M
. x5 I: ^# h2 n# W. S- p
* s& t, S( l. ]5 C1 e6 k
% T1 n4 Y9 b3 z) w
大东:给系统管理员帐户设置足够复杂足够强壮的密码,最好能是10位以上,字母+数字+其它符号的组合;也可以禁用/删除一些不使用的帐户。如果记忆力够好,经常改变密码也是也是个不错的选择。2 @0 `% |6 B& q
. v5 G# x+ u1 ]. n, A+ N [
1 V2 c$ u3 }& U
小白:对,比如说我就经常换密码。8 d# r- [2 M7 _
0 K+ M I8 V' K" Y- W8 o! |* |2 |3 b
大东:哎,不过你也总是忘记密码。不过单纯地讲,换密码这个习惯还是不错的。' m8 \ p; Z7 l- T# u' T. M
6 Z4 X: H9 M1 p: H
& B1 ]( E3 x! t/ T: K+ G
小白:东哥,你总揭我老底,就不能给我留点面子嘛?1 j9 A( |9 h' [% x
& ~7 v0 {: i7 W8 ]8 u: t
: l+ E0 i2 b2 P2 r/ f大东:(装作听不见的样子) 嗯,我们继续说防范的方法。经常更新杀毒软件(病毒库),安装并合理使用网络防火墙软件是十分必要的。网络防火墙在防病毒过程中起到至关重要的作用,能有效地阻挡自来网络的攻击和病毒的入侵。% z- E: o" K* b" j' z( q
0 @1 ~2 P: G/ ? t1 O
, \6 S" p) |$ x2 B, G( V6 U& l$ w/ J小白:东哥,还有吗?2 X) u" Y, w) _8 P: I0 a
, s6 u/ T! a i( v0 ?. ~8 B4 c
7 c1 N- N# l1 ?! h大东:关闭一些不需要的服务,条件允许的话可以关闭没有必要的共享,也包括C$、D$等管理共享。完全单机的用户可直接关闭Server服务。
* v. C) Y9 T( ]/ j$ g
: |# ?, o) C' q4 h3 `5 w! X C/ u7 w/ i: H' X7 I/ i
小白:懂了。东哥,通过你刚才的讲解,我回忆起来了许多东西。
- T* ^8 w* c% M7 v
9 N f$ e T- S2 E
& B: w2 }. [; Z1 [) [% n大东:温故而知新嘛!
! _# u: m7 ]# f& W8 T8 A2 b* |" Q9 v L. g# r5 T0 y6 ^9 {
% G, z) K: j/ w7 H6 A; Q; w
来源:中国科学院计算技术研究所
$ g# t, c8 H% ^/ x3 `9 {# V( _
6 U2 o. \9 X. i
1 J7 I& K& G0 W: C6 l I! d4 o温馨提示:近期,微信公众号信息流改版。每个用户可以设置 常读订阅号,这些订阅号将以大卡片的形式展示。因此,如果不想错过“中科院之声”的文章,你一定要进行以下操作:进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」1 z) {2 _* x- b' o' y$ o# ^% x( V
( K' E6 K) C; l- X- A5 K
" p' a% D: s) R0 B" N1 t9 z( W5 N+ {* n8 p
1 ]+ I# h) d% p. b. ?
" D0 Y( T; M; ?$ q$ ^- I9 x% B3 M- V" e6 I2 _5 N
来源:http://mp.weixin.qq.com/s?src=11×tamp=1574510402&ver=1992&signature=Tvxe-dv0Pli2WOy8jx6-Hw7rnv9HYpasycZdOiA27ix8cPjxnROs0K1kkvdUU-4qOv15U3svsKSNcI-QAj5BtJGG0rX5r4iFdLPgzGOu9EXoWlxVCaXxE1chtktOJjK2&new=1
. T V3 U3 c4 c% f免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?立即注册
×
|
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-11-23 20:40:29
