|
|
一、灰鸽子病毒事件
5 z$ F9 R4 _2 N; T6 y
( G2 B9 ~$ u+ B; R- p1 O
/ B. h( l B0 U- w小白:东哥,我最近弄了个新鲜的东西,可以远程控制我家的家电,例如空调,电视,冰箱……& L! ^0 [) g2 e0 h O. a
2 N6 p. F3 Q [4 |! T& q8 P% m( R6 _4 b4 O: \: `5 y) ^
大东:嗯,这个不错!4 ~( |! r5 M( M+ l$ s% z
W1 u7 y' ^3 g# w# f
3 \2 J- Y' y9 G: `) {% P. Q, w
手机远程控制空调。图片来源于网络 2 s7 F, J. I1 o' W, Z |( I6 [
* n! ~1 [" @ |* C6 Z! T- |6 x) u0 x
小白: 是啊,最便捷的是有手机、有WIFI就可以实现远程控制功能。, w U0 ~ I9 Y
" o1 T z6 s) U% h8 b& U. X
" e% R, {/ v, c' N% N& E% @3 ?" X$ X0 G大东:等一下,便捷中往往隐藏着“邪恶”,你可要小心灰鸽子病毒啊! B7 a% R; x% R$ s( \- t
" ?" V3 P! y, J& \; \
. K# M$ L4 B* g小白:灰鸽子病毒?
$ G6 ?0 U3 J+ |! ?) |% ]8 v: ?" ^
% d7 J! X$ }1 ?, l3 `, }大东:是的。灰鸽子本身是一款远程控制软件,但是因为恶意使用,又被认为是一个集多种控制方法于一体的木马病毒,一旦用户电脑不幸感染,可以说用户的一举一动都在黑客的监控之下,要窃取账号、密码、照片、重要文件都轻而易举。2 Y: t$ i% O4 ~! T; j, z) G( u
* Z, @# H/ D2 z5 G
; m4 u5 O* }4 ]( c+ W( y7 }小白:我的天啊,那我的隐私岂不是完全暴露在大家的面前了?!
H# o$ C/ I" y4 l! L+ l5 M# ]6 k, H5 m
4 h. j1 ^/ @+ t: z" I$ Q
大东:不仅如此,他们还可以连续捕获远程电脑屏幕,还能监控被控电脑上的摄像头,自动开机(不开显示器)并利用摄像头进行录像。
" R7 e4 x+ a; c* y( C! a) f7 ~! \' y1 ~3 m; y8 f2 A e
8 ?" }% t) x9 E
小白:简直是太可怕了!假如我没洗头、没洗脸、穿着邋遢衣服的样子被拍了下来,上传到网上的话……6 Z! |" a$ Z& f' e, V1 ~4 g
1 n. o% X. ?9 a6 t- D) e
! U5 f5 d2 c* n% A: K
) Z) E5 T$ m* R9 k: B" x/ |% m* s
! m8 L6 q' {" x E# [4 w
大东:emmmmm……你这个颜值估计上传了也没人看。我们言归正传,继续说灰鸽子的事。随着“灰鸽子2007”的发布,当年仅3月1日至13日,金山毒霸截获的灰鸽子变种数就达到521个。盗号、偷窥、敲诈以及骇人听闻的公开“叫卖”,危害更甚于熊猫烧香。- j/ D5 `% s7 z) s
% \& c( y3 {3 m7 u2 `3 ~8 ]
g' s) _7 a1 V8 C( }. t, c/ h小白:这群人简直太可恶了!8 d$ _2 ~3 P; J8 _7 S
& x) h4 C7 y9 a2 J# F3 g# Z: ~2 t5 j" i4 t* t7 n2 N' U4 L, c
大东:而且灰鸽子已不再是一个单纯的病毒,其背后是一条制造病毒、贩卖病毒、病毒培训为一体的黑色产业链,从某种意义上讲,灰鸽子的危害超出熊猫烧香10倍! 1 L. Q# c( r5 ~: r9 U' B0 Q
$ X- A% K& I+ ? r
- @+ W$ J9 c: }( H+ O3 z8 b8 t4 ~灰鸽子产业链示意图。图片来源于网络
, m( n2 U) x2 R8 k+ m# t1 ]' G- l8 W. y
小白:东哥,那我们就拿灰鸽子一点办法都没有吗?( w4 L7 q. _8 b j- x
5 S/ U2 t7 r+ W/ d0 ? s) l
, X' y3 |- @ c7 Z8 y
大东:灰鸽子虽然强大,但它并不是完美无缺的。让我为你解析一下这个难缠的病毒。
8 a/ j. e: D7 |; c 8 x* _% ?7 z. y; m# C
二、灰鸽子病毒发展史
3 }4 X K9 U: h# `" ^
5 f3 K% q7 x% Q3 l( |1 V( U7 B4 m, z9 n
大东:先来说说灰鸽子病毒的发展史吧。
8 A- D& S/ r& I' }& P8 E6 D8 C* ~% G: j
. d1 A# f0 i; R+ `
小白:好呀,我最喜欢听历史了。
9 |/ |! L9 g, t7 C5 q1 |; E$ _( G7 o5 N4 G; X% |! h
/ a9 G" l/ B- O! ]5 L
大东:灰鸽子病毒发展分三个时期:诞生期、模仿期、飞速发展期。. p% o: r4 b% `5 ?
) f8 ]/ {8 F9 ^, D- ~8 c
6 ]& e0 _0 t/ V3 ^' R5 p小白:先说说诞生期吧。; S" s* o, w. _' L
+ _1 _1 M C2 ]+ i( i4 j" l# L7 ^; m7 Q& _7 \! i2 J$ l% s* R( |
大东:诞生期自2001年,灰鸽子诞生之日起,就被反病毒专业人士判定为最具危险性的后门程序,并引发安全领域的高度关注。2004年、2005年、2006年,灰鸽子木马连续三年被国内各大杀毒厂商评选为年度十大病毒,灰鸽子也因此声名大噪,逐步成为媒体以及网民关注的焦点。. s# N5 y* q) K6 O
8 ~9 S/ R) j' ?6 n
. Q$ Q: p9 K* F$ @# N/ Q小白:最具危险性的后门程序,听上去很厉害嘛。7 r" D( s% p# u% S4 x' n) W& U) M
3 c8 g6 U" c$ N/ t* Z" z6 {
) L, J) r. d% {! H( A5 T0 z8 X大东:模仿时期,灰鸽子最早出现的时候是在模仿“冰河”。它采用Delphi编写,采用了源码共享的方式出现在互联网。虽然“灰鸽子”在当时的名气不及“冰河”,但由于开放源码的方式让“灰鸽子”逐渐增大了传播量。
2 k; {! F1 H5 r1 p2 `& {; b
, ]9 v# g: `9 I" L
& I$ _+ Y& m1 T小白:这么说来冰河是灰鸽子的“前辈”啦!那冰河也是远程控制软件吗?: V9 J: o* @; i3 j9 i6 m3 _
9 Y. `, g9 V1 J# j5 u' a# Z$ T* S, ?0 V6 z
大东:是的。冰河的可怕之处在于自动跟踪目标机屏幕变化,同时可以完全模拟键盘及鼠标输入、记录各种口令信息。还包括获取系统信息,例如计算机名、注册公司、当前用户等多项系统数据。远程关机、远程重启计算机、锁定鼠标及锁定注册表等多项功能限制也是他的拿手强项。
* L: ~5 x+ n9 k& d2 Y
y- q2 F% W$ M0 M+ E( y( e# s8 k2 e) e
小白:说远了,该说灰鸽子病毒飞速发展时期了。
: q: A, z$ L0 ]9 U% U' K& ]4 C& T! i# U8 q
" q7 T( a+ M1 f% Y- c" A大东:2004和2005这两年之间,灰鸽子逐步进入了成熟的状态,由于源码的释放,大量变种在互联网中衍生。2004年灰鸽子总共发现了1000多变种,而在2005年,这个数字迅速上升到了3000多。
$ u+ v9 d( i& _ t" m" E6 g4 b8 x! g: a* ^# I
# ]+ Z4 ^: _/ K, _5 w9 n小白:变种也太快了吧?!: `& {3 Y5 f7 v2 B* N2 x7 B/ L& i6 Y f
1 m6 T a4 w4 l
~" z ~% y6 y5 U" @/ a3 }) V" Q8 f' [大东:“灰鸽子”最大的危害在于潜伏在用户系统中,由于其使用的“反弹端口”原理,一些在局域网(企业网)中的用户也受到了“灰鸽子”的侵害,使得受害用户数大大提高。2004年的感染统计为103483人,而到2005年数字攀升到890321人。“灰鸽子”本身所具备的键盘记录、屏幕捕捉、文件上传下载和运行、摄像头控制等功能,将使用户没任何隐私可言,更可怕的是服务端高度隐藏自己,使受害者无从得知感染此病毒。
. W" [, A, p' s; n/ K+ O* q" k* A! w) K$ }
: D% s G/ U' Z! X小白:令人害怕!0 a0 o3 {& r5 ~
, B/ c% k, m/ r$ Z T
三、灰鸽子病毒清除办法
' q1 K6 ~/ ]8 b" E' s
0 h: f9 G! t, Z1 W, K1 u- D: d# N L d H
大东: 但是利用一些检测方法就可以将灰鸽子揪出来。通过研究发现,无论自定义的服务器端文件名是什么,一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点,我们可以较为准确手工检测出灰鸽子服务端。
3 Y) A7 s% C% J2 t0 X' b# ?- d0 ~& \4 S, R1 |2 o
. E9 Q; c6 C2 p" F4 ]# _小白:那是把“_hook.dll”结尾的文件删掉就可以吗?5 R9 E! ~9 j0 `
- i# C( D: o% u+ [! H# D) |. M$ O5 `, u* I% o
大东:当然不是那么简单。由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模式下进行,而且要把Windows设置成显示所有文件。并打开Windows的“搜索文件”,文件名称输入“_hook.dll”,搜索位置选择Windows的安装目录(默认98/xp为C:\windows,2k/NT为C:\Winnt)。经过搜索,在Windows目录(不包含子目录)下发现了一个名为Game_Hook.dll的文件。" c/ H% ~) h. a8 o
5 G! B. n% B4 U
; @( J; M" L! h: q5 I# I: {小白:这就是灰鸽子文件了吧!
# b* \1 `, x, [" T4 Y
! H/ _% i' P% O& A3 }6 O7 C' n
# X+ Q2 q9 u2 E) Z* ]: F9 ?9 A大东:还不能确定。如果Game_Hook.DLL是灰鸽子的文件,则在操作系统安装目录下还会有Game.exe和Game.dll文件。这才是真正的灰鸽子的服务端,不能“冤枉”好人啊!' Q7 N" K% k( [4 ]
$ Q; M& j3 k: R0 P
4 t( I% \- E4 n7 I( p8 HGame.exe和Game.dll。图片来源于网络 1 p" b o, I' F$ B/ H+ v$ a
: R/ v! M; u" @- e7 n* C7 @8 {
1 y8 O, U' J3 w \小白:原来是在这样。把这几个文件删除就可以和灰鸽子病毒say goodbye了吧!& ]$ V( D# ^3 {3 a; B
& S3 h* r& a: h
- u7 t1 D. g4 b$ \+ U2 \大东:总共有两步,这只是其中的一步。首先清除灰鸽子的服务,注意一定要在注册表里完成。清除灰鸽子的服务一定要先备份注册表,或者到纯DOS下将注册表文件更名,然后再去注册表删除灰鸽子的服务。因为病毒会和EXE文件进行关联。
; r. `6 q& T' b( F; Y0 E
! y* u" Z# [0 ? b2 Y. d1 e7 Q" _) w3 @8 M
小白:东哥,具体应该怎么做啊?教教我呗。0 W' }- c- K9 u5 U) k) X
' f8 d- v) r0 s8 S4 B3 F# v
! M5 l* A, T0 b7 }
大东:第一步打开注册表编辑器(点击“开始”- “运行”,输入“Regedit.exe”,确定。),打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。第二步点击菜单“编辑” “查找”—“查找目标”输入“game.exe”,点击确定,我们就可以找到灰鸽子的服务项(此例为Game_Server,每个人这个服务项名称是不同的)。第三步删除整个Game_Server项。
. p- C' F- B2 K4 U ; `6 q" V( @2 {" Y
9 X3 F d7 x, n5 f! _$ C) o查找game.exe。图片来源于网络
\4 V( O$ e; c2 j
- t! ^# N" J; u1 k5 o: q" {2 g( u4 M小白:这其中的第二步是不是就是我刚才说的删除Game.exe和Game.dll。
p$ Q8 f' F7 [$ S4 R" J
$ {6 r2 D4 ^: y; i8 T. l6 S6 B' C5 S7 Q. D
大东:bingo!你只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件,然后重新启动计算机,就彻底告别灰鸽子病毒了。4 l: h1 z9 {! H; w
5 D: }, r1 Q: V
四、防范措施
) j" Z2 w; E0 _* t1 V, B V8 B
# {2 s4 J: i1 z* a9 Q# z小白:东哥,那该如何防范灰鸽子这类病毒呢?
- j9 H' `; L$ A2 J0 B0 T) }
* a$ a8 ~+ m. ?5 P/ _6 {
. }1 l$ t- i( E, p7 d8 t大东:有些办法虽然有些原始,但总是最好用的。比如说给系统安装补丁程序。通过Windows Update安装好系统补丁程序(关键更新、安全更新和Service pack)。
8 W/ `$ p& j' X+ e/ `6 c& i) m7 H4 D: w% j3 c) [* e' Q& L4 q
% ?" M0 F; e J4 k" ~( t9 ]" Z
小白:东哥,我们老说打补丁,补丁的专业解释是什么呀?我们为什么要定期打补丁呢?
* Z9 ?) O5 P2 o% r6 |) I
' q+ {* f( E, ]# X. r4 \
/ v( R" K8 I6 X* V0 `大东:补丁就是操作系统的不定期错误漏洞修复程序。一般在开发过程中,一开始有很多因素是没有考虑到的,但是随着时间的推移,存在的漏洞问题会慢慢被发现。这时候,为了对系统本身存在的漏洞问题进行修复,系统开发者会发布相应的补丁。黑客如果利用这些漏洞,就可以得到计算机的控制权。
+ {4 J* L* n" t" M$ S f: K! l& e* \/ F; d8 ]. j
% ] c9 J, u7 l
小白:东哥,还有类似的“原始”方法吗?
1 `3 Q$ u/ h, y, F1 Z% N
1 f, P" P, g/ S; \4 Z! t9 h/ j8 K4 ]+ }. T( v, Q
9 K" {$ @* i/ l, ]
; g$ ?2 w: t+ a6 d5 A
大东:给系统管理员帐户设置足够复杂足够强壮的密码,最好能是10位以上,字母+数字+其它符号的组合;也可以禁用/删除一些不使用的帐户。如果记忆力够好,经常改变密码也是也是个不错的选择。* \% J( M) w& {# {6 ?+ y) b9 z8 U
: F* b" E* I; X; W. O! t1 h; X; N
J) S/ \* S# J3 J( z小白:对,比如说我就经常换密码。* B$ g% E0 p2 @% B$ O1 ?0 T' ^
) i* M& Q, Q+ x6 l
, Y7 |- q, V* [! o) h1 E ?1 b, s
大东:哎,不过你也总是忘记密码。不过单纯地讲,换密码这个习惯还是不错的。- \$ d% G, V! @+ W4 v0 W
2 {$ O9 ~# m# m+ i ?3 ?) Y
7 ^9 ~% B. O) M! q7 [# ]小白:东哥,你总揭我老底,就不能给我留点面子嘛?
5 B& Q2 X8 I( _
; W L e: d* b
. E8 G h. O* P) L9 T/ x大东:(装作听不见的样子) 嗯,我们继续说防范的方法。经常更新杀毒软件(病毒库),安装并合理使用网络防火墙软件是十分必要的。网络防火墙在防病毒过程中起到至关重要的作用,能有效地阻挡自来网络的攻击和病毒的入侵。
- q a" z& X$ N2 t/ W4 o
+ Y3 S6 m6 q* {, R0 g- R2 u* _. s: ^6 S$ d6 l
小白:东哥,还有吗?' R" [0 o: I, t2 k% L/ G
/ G* B/ C7 {3 U" z% m& q, _! Y& q- \ u- s
大东:关闭一些不需要的服务,条件允许的话可以关闭没有必要的共享,也包括C$、D$等管理共享。完全单机的用户可直接关闭Server服务。
5 o8 Z% Y8 J" Q8 b. L' p2 E+ p4 J) ]: h1 `/ ~9 N$ g
7 { R! z' m* b) `% k% A) L! W
小白:懂了。东哥,通过你刚才的讲解,我回忆起来了许多东西。
. V4 w( z2 G4 e
/ X. i9 s/ C" L3 M& G+ f
, E1 D6 \! u/ U% j& A3 a3 O大东:温故而知新嘛!7 S$ O3 H$ l+ R; A3 k1 l1 }( z+ o! u
c: H4 `2 B7 u3 ~% d
, \3 ^! A! v3 B+ R& T0 \! J来源:中国科学院计算技术研究所
4 v: |4 q4 ?2 y7 L
3 i# Z% Z! B- ^1 G& c$ a
/ C1 l2 {4 q# W7 c$ Y- ~温馨提示:近期,微信公众号信息流改版。每个用户可以设置 常读订阅号,这些订阅号将以大卡片的形式展示。因此,如果不想错过“中科院之声”的文章,你一定要进行以下操作:进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」
9 S% Q0 G+ C' c
* ?1 Q8 p2 Z* m) R: }0 ]& m! T9 k+ C
3 C" T( b) K% j) L
9 A& x5 O3 ~- W
 # W8 |+ L/ q# k3 Q. u0 a8 {
$ U" k( Q: R: M
来源:http://mp.weixin.qq.com/s?src=11×tamp=1574510402&ver=1992&signature=Tvxe-dv0Pli2WOy8jx6-Hw7rnv9HYpasycZdOiA27ix8cPjxnROs0K1kkvdUU-4qOv15U3svsKSNcI-QAj5BtJGG0rX5r4iFdLPgzGOu9EXoWlxVCaXxE1chtktOJjK2&new=1
; l7 L7 j% y" H) c免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?立即注册
×
|
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-11-23 20:40:29
