被控制的“好人”丨专栏

bbs7te

一、灰鸽子病毒事件
5 @" [4 m% F, _! b( `
0 `) H+ @2 Y3 k
0 @) E+ [: V$ H* J" W' R* ^小白：东哥，我最近弄了个新鲜的东西，可以远程控制我家的家电，例如空调，电视，冰箱……
% y: B' r4 [0 a) w; y- m
) i( u  p! G& o
大东：嗯，这个不错！
5 T: m& @1 N' U5 R5 _/ U 
1 z. I. b2 ^9 b" ^

手机远程控制空调。图片来源于网络

- b$ T) H7 L- b# F! W+ I8 ]
小白： 是啊，最便捷的是有手机、有WIFI就可以实现远程控制功能。

3 e! {3 P/ {5 C- {% m2 ~  H
, f( p* w8 I; \大东：等一下，便捷中往往隐藏着“邪恶”，你可要小心灰鸽子病毒啊！
8 h: L% {/ h: w, n7 e6 T

小白：灰鸽子病毒？
, @' Y. b; \8 S% U7 R; l  S, H
! q* g5 ?8 e  u: N; g+ F4 g! K2 b
& `" ], x& M* l+ t; P" x. w! R大东：是的。灰鸽子本身是一款远程控制软件，但是因为恶意使用，又被认为是一个集多种控制方法于一体的木马病毒，一旦用户电脑不幸感染，可以说用户的一举一动都在黑客的监控之下，要窃取账号、密码、照片、重要文件都轻而易举。

* H: y( _3 z- g+ j+ L+ n
小白：我的天啊，那我的隐私岂不是完全暴露在大家的面前了？！


大东：不仅如此，他们还可以连续捕获远程电脑屏幕，还能监控被控电脑上的摄像头，自动开机（不开显示器）并利用摄像头进行录像。


小白：简直是太可怕了！假如我没洗头、没洗脸、穿着邋遢衣服的样子被拍了下来，上传到网上的话……
 

- i* q" \# p1 `) U# n& v大东：emmmmm……你这个颜值估计上传了也没人看。我们言归正传，继续说灰鸽子的事。随着“灰鸽子2007”的发布，当年仅3月1日至13日，金山毒霸截获的灰鸽子变种数就达到521个。盗号、偷窥、敲诈以及骇人听闻的公开“叫卖”，危害更甚于熊猫烧香。


% [* q0 t/ T7 g" c小白：这群人简直太可恶了！


: h/ u. P+ l3 M. x' z4 q$ N大东：而且灰鸽子已不再是一个单纯的病毒，其背后是一条制造病毒、贩卖病毒、病毒培训为一体的黑色产业链，从某种意义上讲，灰鸽子的危害超出熊猫烧香10倍！ 
 
  U- d! _& J4 P8 G5 ~8 K; H( v/ U

5 d- {) t' l; r2 N) O

灰鸽子产业链示意图。图片来源于网络

6 r, k  j" ?9 z# V% c! V小白：东哥，那我们就拿灰鸽子一点办法都没有吗？

1 @, t% Z2 P. P, I& d8 A0 I
- E4 w4 K4 s' M+ U" Q2 X- u- D大东：灰鸽子虽然强大，但它并不是完美无缺的。让我为你解析一下这个难缠的病毒。
 
! y7 G2 A2 H: ]7 Y- \二、灰鸽子病毒发展史

0 a% k* V" i4 }% R4 R
2 A  y, l" K. q大东：先来说说灰鸽子病毒的发展史吧。


9 L: M. O0 v$ U1 r小白：好呀，我最喜欢听历史了。

8 z, _( s2 a$ y$ d
3 ^- S' E( _' @& D6 _) V# b% K' a8 K大东：灰鸽子病毒发展分三个时期：诞生期、模仿期、飞速发展期。
  b5 i' r* o" \  _9 L: h; |* M

2 n% `1 A) o0 S7 I小白：先说说诞生期吧。

+ o: A) E; s2 L' R" g
大东：诞生期自2001年，灰鸽子诞生之日起，就被反病毒专业人士判定为最具危险性的后门程序，并引发安全领域的高度关注。2004年、2005年、2006年，灰鸽子木马连续三年被国内各大杀毒厂商评选为年度十大病毒，灰鸽子也因此声名大噪，逐步成为媒体以及网民关注的焦点。
2 g8 P, U1 q4 d
% t( W5 p5 v+ Z* u- z: {/ T
4 p4 O/ D% ]2 E" \% E3 \小白：最具危险性的后门程序，听上去很厉害嘛。


大东：模仿时期，灰鸽子最早出现的时候是在模仿“冰河”。它采用Delphi编写，采用了源码共享的方式出现在互联网。虽然“灰鸽子”在当时的名气不及“冰河”，但由于开放源码的方式让“灰鸽子”逐渐增大了传播量。
0 r, b9 k4 o- \1 i: M
$ w0 z! J" C8 @
小白：这么说来冰河是灰鸽子的“前辈”啦！那冰河也是远程控制软件吗？


7 D% \( A! B* g6 ?: R) s8 _% ]1 q大东：是的。冰河的可怕之处在于自动跟踪目标机屏幕变化，同时可以完全模拟键盘及鼠标输入、记录各种口令信息。还包括获取系统信息，例如计算机名、注册公司、当前用户等多项系统数据。远程关机、远程重启计算机、锁定鼠标及锁定注册表等多项功能限制也是他的拿手强项。

- h) L+ d4 d3 x" o) `
5 v4 l- O" `  P小白：说远了，该说灰鸽子病毒飞速发展时期了。

. D8 p7 h  g: w1 O) ~
" o! ~' i: ?: O: D% I大东：2004和2005这两年之间，灰鸽子逐步进入了成熟的状态，由于源码的释放，大量变种在互联网中衍生。2004年灰鸽子总共发现了1000多变种，而在2005年，这个数字迅速上升到了3000多。

0 @0 y) ?4 o( A9 e7 r( I: v3 _
小白：变种也太快了吧？！
: n! ~# o9 P7 r

大东：“灰鸽子”最大的危害在于潜伏在用户系统中，由于其使用的“反弹端口”原理，一些在局域网（企业网）中的用户也受到了“灰鸽子”的侵害，使得受害用户数大大提高。2004年的感染统计为103483人，而到2005年数字攀升到890321人。“灰鸽子”本身所具备的键盘记录、屏幕捕捉、文件上传下载和运行、摄像头控制等功能，将使用户没任何隐私可言，更可怕的是服务端高度隐藏自己，使受害者无从得知感染此病毒。


小白：令人害怕！
& c6 l$ Y" b1 ?  r1 k 
6 |2 m" T2 b; p. E& R  e9 \三、灰鸽子病毒清除办法
& E" j# \/ I( s' `: _
5 {' {! k0 g2 O
大东： 但是利用一些检测方法就可以将灰鸽子揪出来。通过研究发现，无论自定义的服务器端文件名是什么，一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点，我们可以较为准确手工检测出灰鸽子服务端。

3 f) p* ~: h* d; [
( Y& Q1 N# t. b! ]% ]小白：那是把“_hook.dll”结尾的文件删掉就可以吗？
  b! P% W/ v4 f. F! |, @% A& Q
1 t+ i2 ?9 Y7 T5 g1 R
大东：当然不是那么简单。由于正常模式下灰鸽子会隐藏自身，因此检测灰鸽子的操作一定要在安全模式下进行，而且要把Windows设置成显示所有文件。并打开Windows的“搜索文件”，文件名称输入“_hook.dll”，搜索位置选择Windows的安装目录（默认98/xp为C:\windows，2k/NT为C:\Winnt）。经过搜索，在Windows目录（不包含子目录）下发现了一个名为Game_Hook.dll的文件。
6 b1 e3 o$ B" J. a, a8 p; `) C

7 s7 H: y5 F5 ^/ m小白：这就是灰鸽子文件了吧！


% K6 n4 {+ Z2 ~大东：还不能确定。如果Game_Hook.DLL是灰鸽子的文件，则在操作系统安装目录下还会有Game.exe和Game.dll文件。这才是真正的灰鸽子的服务端，不能“冤枉”好人啊！
4 y6 A% H2 T, ?  z8 N# \7 ]4 p4 d" A+ z 
$ B. F9 V) {+ V1 b

5 {+ d* h8 l. F' `8 H% X5 B

Game.exe和Game.dll。图片来源于网络

2 L, r7 W/ _. g: k# l! ?
, o! W1 [' `: q1 |小白：原来是在这样。把这几个文件删除就可以和灰鸽子病毒say goodbye了吧！
2 N; q5 v' o4 F3 n2 f7 L/ O# E, _9 S5 }

大东：总共有两步，这只是其中的一步。首先清除灰鸽子的服务，注意一定要在注册表里完成。清除灰鸽子的服务一定要先备份注册表，或者到纯DOS下将注册表文件更名，然后再去注册表删除灰鸽子的服务。因为病毒会和EXE文件进行关联。

6 n- F, ~7 u! q: a9 S
2 e9 \, W3 p( @6 X+ E9 t% R小白：东哥，具体应该怎么做啊？教教我呗。

0 ]9 {1 P; F* ?
$ u! Y" `+ ]1 z大东：第一步打开注册表编辑器（点击“开始”－ “运行”，输入“Regedit.exe”，确定。），打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。第二步点击菜单“编辑” “查找”—“查找目标”输入“game.exe”，点击确定，我们就可以找到灰鸽子的服务项（此例为Game_Server，每个人这个服务项名称是不同的）。第三步删除整个Game_Server项。
0 S& U) T1 P* N. g. Q. t1 d4 [ 

查找game.exe。图片来源于网络

% P! y" ?" k/ R& Y: f4 {) x小白：这其中的第二步是不是就是我刚才说的删除Game.exe和Game.dll。


) W, t: A3 q: ~. h- }$ n  P" y& a大东：bingo！你只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件，然后重新启动计算机，就彻底告别灰鸽子病毒了。
 
四、防范措施

. R6 G  V, I# ~3 G! {小白：东哥，那该如何防范灰鸽子这类病毒呢？
" U! G9 Q: i: h. D5 s; z$ @
% X2 g3 [' P# D
6 l1 r, a6 u" h$ ?# J  e" \大东：有些办法虽然有些原始，但总是最好用的。比如说给系统安装补丁程序。通过Windows Update安装好系统补丁程序(关键更新、安全更新和Service pack)。

! X- D* d& I: }/ y, m, G
* H! f3 E( q4 p  l小白：东哥，我们老说打补丁，补丁的专业解释是什么呀？我们为什么要定期打补丁呢？

; U) P% H0 c) S9 N
大东：补丁就是操作系统的不定期错误漏洞修复程序。一般在开发过程中，一开始有很多因素是没有考虑到的，但是随着时间的推移，存在的漏洞问题会慢慢被发现。这时候，为了对系统本身存在的漏洞问题进行修复，系统开发者会发布相应的补丁。黑客如果利用这些漏洞，就可以得到计算机的控制权。


小白：东哥，还有类似的“原始”方法吗？
" W/ \/ p" q' y" s* U6 Y" r                  

: q& u8 t7 l/ X' N2 S3 ^

大东：给系统管理员帐户设置足够复杂足够强壮的密码，最好能是10位以上，字母+数字+其它符号的组合；也可以禁用/删除一些不使用的帐户。如果记忆力够好，经常改变密码也是也是个不错的选择。


小白：对，比如说我就经常换密码。
9 K9 i& h, ^; V) P

+ x: G; h9 {+ X) o. r  A& ~大东：哎，不过你也总是忘记密码。不过单纯地讲，换密码这个习惯还是不错的。


2 R7 o& e: Z6 m- `* K小白：东哥，你总揭我老底，就不能给我留点面子嘛？
8 e+ J; Z. M* ?+ u* ?" [1 R9 x
' B, h9 |. `' ?: e1 v
大东：（装作听不见的样子） 嗯，我们继续说防范的方法。经常更新杀毒软件（病毒库），安装并合理使用网络防火墙软件是十分必要的。网络防火墙在防病毒过程中起到至关重要的作用，能有效地阻挡自来网络的攻击和病毒的入侵。

' X. K6 s& p6 B2 {6 j4 p$ |: G
+ ^' o, x: ]1 m( D& f小白：东哥，还有吗？
( p4 T1 l9 e3 y5 X! F' }0 ?* d

大东：关闭一些不需要的服务，条件允许的话可以关闭没有必要的共享，也包括C$、D$等管理共享。完全单机的用户可直接关闭Server服务。
- Y1 @  e3 v) c0 N# S3 u
" x9 y2 V. F6 C# V
小白：懂了。东哥，通过你刚才的讲解，我回忆起来了许多东西。


% w7 q/ r# k4 _$ L# I大东：温故而知新嘛！


8 {" n: T0 v' g2 k% p来源：中国科学院计算技术研究所
& r) F; d1 y' ^, L; M& c9 Q1 r2 K

( i3 D- |/ R# u! T6 [: i% D温馨提示：近期，微信公众号信息流改版。每个用户可以设置 常读订阅号，这些订阅号将以大卡片的形式展示。因此，如果不想错过“中科院之声”的文章，你一定要进行以下操作：进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」
, m' L! Y& p. p/ v2 I) A

8 N' L1 K) G$ E8 q6 x3 d% V

! X" H6 s' [4 D2 B& S: o5 q

' \6 l- d* q' ?% E; Q# Y
" L: a3 E( i# V( x
. ?9 T! M: l1 N来源：http://mp.weixin.qq.com/s?src=11&timestamp=1574510402&ver=1992&signature=Tvxe-dv0Pli2WOy8jx6-Hw7rnv9HYpasycZdOiA27ix8cPjxnROs0K1kkvdUU-4qOv15U3svsKSNcI-QAj5BtJGG0rX5r4iFdLPgzGOu9EXoWlxVCaXxE1chtktOJjK2&new=1
% }; D5 O! {0 g. ?8 Z免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！