一、灰鸽子病毒事件
/ i. e9 d ^' Q
0 v) T; t+ ]& w) _
2 ~& `3 P. U% h$ Z5 \3 O/ f小白:东哥,我最近弄了个新鲜的东西,可以远程控制我家的家电,例如空调,电视,冰箱……
) y5 [3 _9 G/ G3 B& N8 c3 N! r. @+ |* d u" ?. l
% R t. X& T: d1 J, e大东:嗯,这个不错!! g3 P7 \% b! w8 h+ f
$ A' q6 b+ I# E3 X9 A0 W+ k
" u0 m9 F& T! o! l, m0 x' J& O手机远程控制空调。图片来源于网络 # Q, m, ?: ?- {+ t# x& l
# ~- s, `) e/ P$ j9 ~. C' n5 ^
* i: \ {, i: L7 W1 p, {6 s3 e2 I/ J. t小白: 是啊,最便捷的是有手机、有WIFI就可以实现远程控制功能。( S7 F P: f. D) \# C
+ w+ i9 d) f! H8 D/ `3 H/ B' E$ G# F) T* m
大东:等一下,便捷中往往隐藏着“邪恶”,你可要小心灰鸽子病毒啊!6 {9 p! [( `, E7 M* R, k7 r6 q& w
' T/ i, I* B# C' r9 s
, k) w8 y1 L& [. I小白:灰鸽子病毒?! k* h& z% y/ B- _
: q7 s' w! X, l! [7 V- R
$ Z. M$ G* J" n2 {1 N |2 m# y大东:是的。灰鸽子本身是一款远程控制软件,但是因为恶意使用,又被认为是一个集多种控制方法于一体的木马病毒,一旦用户电脑不幸感染,可以说用户的一举一动都在黑客的监控之下,要窃取账号、密码、照片、重要文件都轻而易举。 v& v. h, s' r# A. m( E0 w
: h9 ]& |$ N" C' k' I# y* D. p. y0 y
" V5 E# {4 W5 ^4 a( ^" V5 @小白:我的天啊,那我的隐私岂不是完全暴露在大家的面前了?!. e2 E& D( F' z, {- ~; r6 Y5 g
+ m; b, G! n; I
4 V9 S9 t/ T. r* f
大东:不仅如此,他们还可以连续捕获远程电脑屏幕,还能监控被控电脑上的摄像头,自动开机(不开显示器)并利用摄像头进行录像。
/ x7 u7 p. r/ ^/ V4 e; _# T8 e0 F% A2 V
# d# J9 Y1 m2 ^9 c1 R, b小白:简直是太可怕了!假如我没洗头、没洗脸、穿着邋遢衣服的样子被拍了下来,上传到网上的话……' M4 R* D3 z& k$ M/ b* V) g3 x
2 e2 I2 k- m! m9 [ `2 m1 ^
2 B& v) F3 g1 v, V. d S: h- Y* W
1 ~/ v" T/ d7 q; |8 a5 g; ~
7 r9 S' n( m0 f0 L- `, i* ~大东:emmmmm……你这个颜值估计上传了也没人看。我们言归正传,继续说灰鸽子的事。随着“灰鸽子2007”的发布,当年仅3月1日至13日,金山毒霸截获的灰鸽子变种数就达到521个。盗号、偷窥、敲诈以及骇人听闻的公开“叫卖”,危害更甚于熊猫烧香。! K9 \! |2 ?7 m1 h. c0 o
9 u# q3 P, \: p* v
( K3 ]) Z& N/ l* A* t( ~
小白:这群人简直太可恶了!
* l _- G1 ~; {" d9 Z6 s
/ Q% N, S* O! G& f/ M8 m" p
2 K- H' M0 H' F. \, R: a大东:而且灰鸽子已不再是一个单纯的病毒,其背后是一条制造病毒、贩卖病毒、病毒培训为一体的黑色产业链,从某种意义上讲,灰鸽子的危害超出熊猫烧香10倍!
& q* f% w# o0 m! E i. k 4 \" ~) Y, R- Q- Z5 @$ P
1 h$ G5 P9 ^; {0 D* x* k灰鸽子产业链示意图。图片来源于网络
$ F1 d6 G5 \$ F+ K3 K
% ]# Q6 {9 d" d! `9 Q( ?- q小白:东哥,那我们就拿灰鸽子一点办法都没有吗?
6 g, U0 t& e( b2 J% ~ M: Z7 M$ X7 T6 ~* b5 f
2 }; \! w8 }' h大东:灰鸽子虽然强大,但它并不是完美无缺的。让我为你解析一下这个难缠的病毒。
3 G; X/ H( H2 ]8 p
) D* f: a7 o- B k二、灰鸽子病毒发展史" v" D; T+ c P% F
, c. c: Q3 ]7 `: S" O' I
6 N2 a: j: ]+ g8 Y1 { a大东:先来说说灰鸽子病毒的发展史吧。1 K4 B8 x; ^' \* q a9 P2 d6 D
& {( V1 Y# V9 y8 W& m l; ?
' K; n: ~/ i- D d: a- L小白:好呀,我最喜欢听历史了。" B5 V( m0 _8 I
3 R$ }0 ?0 u8 x( R' v
! c3 R4 b3 ?8 Z大东:灰鸽子病毒发展分三个时期:诞生期、模仿期、飞速发展期。
8 y2 |* s/ }. V& g# J
4 v* D: ^ F7 S, n* m+ M& ?
2 d% I: R* O3 h小白:先说说诞生期吧。
4 p$ w" B0 v! w. |% E% p% d; { O/ ` L8 G) l2 y
; a8 b j$ x! y: h8 q2 R大东:诞生期自2001年,灰鸽子诞生之日起,就被反病毒专业人士判定为最具危险性的后门程序,并引发安全领域的高度关注。2004年、2005年、2006年,灰鸽子木马连续三年被国内各大杀毒厂商评选为年度十大病毒,灰鸽子也因此声名大噪,逐步成为媒体以及网民关注的焦点。; V1 ^7 K0 K" P+ z3 n
* o" x, Q8 w1 |& O4 | j/ N
5 {3 Y/ W, Z1 ^小白:最具危险性的后门程序,听上去很厉害嘛。 y' C1 j5 J; ~; g7 ~, v
% O. ?" D1 i4 P5 n; p8 F2 H6 \
[1 R" z- \/ b
大东:模仿时期,灰鸽子最早出现的时候是在模仿“冰河”。它采用Delphi编写,采用了源码共享的方式出现在互联网。虽然“灰鸽子”在当时的名气不及“冰河”,但由于开放源码的方式让“灰鸽子”逐渐增大了传播量。
% i6 [' @: T4 w& f) d7 A4 H( p0 ?( c
8 s9 e2 d# T6 o$ a小白:这么说来冰河是灰鸽子的“前辈”啦!那冰河也是远程控制软件吗?0 N1 q4 r- l5 @; N! U) p
* Y8 ^" r- E* Z7 B) s0 J6 y4 i! k# |
大东:是的。冰河的可怕之处在于自动跟踪目标机屏幕变化,同时可以完全模拟键盘及鼠标输入、记录各种口令信息。还包括获取系统信息,例如计算机名、注册公司、当前用户等多项系统数据。远程关机、远程重启计算机、锁定鼠标及锁定注册表等多项功能限制也是他的拿手强项。4 W- b3 _2 ]" `( B5 ^% c! O
( }- R2 t# Z4 d% } `* X, G7 l" t
9 ~0 @) M% q5 V7 Q5 S小白:说远了,该说灰鸽子病毒飞速发展时期了。- @: K- l5 ]3 U8 L- @) }
+ ~2 D3 {3 B/ W: v8 N
( k3 b% a. C4 x0 W大东:2004和2005这两年之间,灰鸽子逐步进入了成熟的状态,由于源码的释放,大量变种在互联网中衍生。2004年灰鸽子总共发现了1000多变种,而在2005年,这个数字迅速上升到了3000多。( m* g: S0 z+ G) I) \ K
" l8 @/ p0 L! s5 v" ~1 G) e" `7 R. g' v
7 @$ c. ]( W7 \3 c! K) ?* f8 b! F- G小白:变种也太快了吧?!* S2 G: L* `6 {7 l- m
$ G- Q5 x0 W0 N8 a- U& I( D" A/ j
) z/ I" t# _6 o
大东:“灰鸽子”最大的危害在于潜伏在用户系统中,由于其使用的“反弹端口”原理,一些在局域网(企业网)中的用户也受到了“灰鸽子”的侵害,使得受害用户数大大提高。2004年的感染统计为103483人,而到2005年数字攀升到890321人。“灰鸽子”本身所具备的键盘记录、屏幕捕捉、文件上传下载和运行、摄像头控制等功能,将使用户没任何隐私可言,更可怕的是服务端高度隐藏自己,使受害者无从得知感染此病毒。$ i( M' A' }' g w" R/ a Z8 C+ C2 g
- l# t0 D2 R z% Y6 M! V# E! I6 s7 G
/ q+ P8 X6 \5 `5 P' O7 J/ s
小白:令人害怕!1 H3 R8 B& g$ { {$ ~7 E; r, M
* J8 Y7 t/ E+ E% A+ w& _( O3 s
三、灰鸽子病毒清除办法% c+ _( y5 K) a9 Q8 T ~
! A y) f" l$ e1 X- t
& K; s, h5 _0 B1 [) Z
大东: 但是利用一些检测方法就可以将灰鸽子揪出来。通过研究发现,无论自定义的服务器端文件名是什么,一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点,我们可以较为准确手工检测出灰鸽子服务端。
( z& F, N; T1 H# q, U
; i2 ]. J+ f. D" y( M8 x' ~1 h4 ?7 ?5 L
小白:那是把“_hook.dll”结尾的文件删掉就可以吗?
8 Q5 q1 w" l$ Y& [# Y, L- O7 @# O- t r! @
2 u5 {) s+ h2 e
大东:当然不是那么简单。由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模式下进行,而且要把Windows设置成显示所有文件。并打开Windows的“搜索文件”,文件名称输入“_hook.dll”,搜索位置选择Windows的安装目录(默认98/xp为C:\windows,2k/NT为C:\Winnt)。经过搜索,在Windows目录(不包含子目录)下发现了一个名为Game_Hook.dll的文件。1 R! {1 A- Y- h5 }, _; l. i1 w0 ]7 y* L
% l1 c+ S1 ]/ \& X3 t0 c6 V- Y1 X- f& ?: \6 |% V
小白:这就是灰鸽子文件了吧!; s0 F9 k( N) [$ W4 X
2 u) x! C/ }/ w+ z8 C
/ T! U# e4 z8 K: z8 G1 f$ K大东:还不能确定。如果Game_Hook.DLL是灰鸽子的文件,则在操作系统安装目录下还会有Game.exe和Game.dll文件。这才是真正的灰鸽子的服务端,不能“冤枉”好人啊!
; ~ s8 D/ t: k9 ~( _# C
* ]+ g& C* ~7 m: s, h( S
4 E6 k# g/ M, _: fGame.exe和Game.dll。图片来源于网络
$ }0 _& G; V5 d" f( p) r# v
7 R* ?- T8 C2 g
! z0 ]! e; h3 X小白:原来是在这样。把这几个文件删除就可以和灰鸽子病毒say goodbye了吧!
8 Q9 P7 [$ E j6 E4 O2 G6 X' y' t" q! o
8 @. P7 H& N9 D1 `4 {1 P# D+ K大东:总共有两步,这只是其中的一步。首先清除灰鸽子的服务,注意一定要在注册表里完成。清除灰鸽子的服务一定要先备份注册表,或者到纯DOS下将注册表文件更名,然后再去注册表删除灰鸽子的服务。因为病毒会和EXE文件进行关联。6 f* ~3 e: n4 ?0 I# m
1 h0 H% O% z1 P! A
' }" R( w3 H9 Q E* W小白:东哥,具体应该怎么做啊?教教我呗。
6 w% ]# M* {( N$ ^ \4 |1 g: o& {$ ~# x. C! {+ q" h
: P! P l) U6 b6 e
大东:第一步打开注册表编辑器(点击“开始”- “运行”,输入“Regedit.exe”,确定。),打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。第二步点击菜单“编辑” “查找”—“查找目标”输入“game.exe”,点击确定,我们就可以找到灰鸽子的服务项(此例为Game_Server,每个人这个服务项名称是不同的)。第三步删除整个Game_Server项。5 h o- L9 ^0 Z
1 e+ |2 q; C' p6 G
, X+ C; d$ j7 o8 ]查找game.exe。图片来源于网络
* m! v6 F! Q' B9 H. t* Q& i/ [' }+ v" a, A' I8 B3 p
小白:这其中的第二步是不是就是我刚才说的删除Game.exe和Game.dll。5 S% x5 r r. f5 r1 v6 E6 M" U
) C9 ~7 q3 t+ A4 R4 m. i* X8 p' f6 e; |
大东:bingo!你只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件,然后重新启动计算机,就彻底告别灰鸽子病毒了。
7 P, a: X* b) B4 A 2 Z% N: q ]: M1 Y+ k
四、防范措施
( J O# d; d/ i1 a k5 K: m8 W M& [2 M/ h0 C+ g k i
小白:东哥,那该如何防范灰鸽子这类病毒呢?2 G! S& r1 H# w! N
o8 j$ C3 L5 g4 r
2 Z/ N! [, H% d0 T& r2 r
大东:有些办法虽然有些原始,但总是最好用的。比如说给系统安装补丁程序。通过Windows Update安装好系统补丁程序(关键更新、安全更新和Service pack)。
' o% r; E3 ~- `, v# W( F
5 d2 C7 G* q% @1 `' J6 h
6 M( D+ v1 y0 E( Y1 x小白:东哥,我们老说打补丁,补丁的专业解释是什么呀?我们为什么要定期打补丁呢?
- ?+ d% V6 _' {, i2 M1 r& \
9 ^1 d z6 T+ i0 Z: M* r ?1 u- Y) ]# b1 M- Z$ T. J# q
大东:补丁就是操作系统的不定期错误漏洞修复程序。一般在开发过程中,一开始有很多因素是没有考虑到的,但是随着时间的推移,存在的漏洞问题会慢慢被发现。这时候,为了对系统本身存在的漏洞问题进行修复,系统开发者会发布相应的补丁。黑客如果利用这些漏洞,就可以得到计算机的控制权。+ @. t, `& |0 z0 o1 n( j5 h4 i
. \2 t/ p6 _4 j! F& v
$ W/ i8 k0 ~5 @6 O, F小白:东哥,还有类似的“原始”方法吗?0 {& x( l$ O- m
3 N( d% a& V8 z; Z+ c; u! l" c! l% K U5 ~: `8 |, A
* u" q' x7 v$ u: @. x9 p$ f
9 O% ~' ^8 t( T8 x8 O: d4 b* ]大东:给系统管理员帐户设置足够复杂足够强壮的密码,最好能是10位以上,字母+数字+其它符号的组合;也可以禁用/删除一些不使用的帐户。如果记忆力够好,经常改变密码也是也是个不错的选择。
# e, D1 f" m; Y: @$ p- Z* u8 X
* h% f. _7 f1 E8 w2 x: z
; {' e: \8 U/ \" s( G, X小白:对,比如说我就经常换密码。0 J3 V& N; b5 D0 x
3 I, o- _4 E: E" B9 K; Z
2 H$ B+ S: l( e/ g% l" d大东:哎,不过你也总是忘记密码。不过单纯地讲,换密码这个习惯还是不错的。
* E+ w1 ]1 Y) V+ ?
* [/ n k V7 o' E6 A( t: i; l' o7 V0 r
小白:东哥,你总揭我老底,就不能给我留点面子嘛?6 L$ e; ^# p4 N7 N1 l) w
* D0 r* P. D" O( o/ G
% i8 E: D1 r! g
大东:(装作听不见的样子) 嗯,我们继续说防范的方法。经常更新杀毒软件(病毒库),安装并合理使用网络防火墙软件是十分必要的。网络防火墙在防病毒过程中起到至关重要的作用,能有效地阻挡自来网络的攻击和病毒的入侵。7 X7 m- X0 m) z2 u' \4 f
; }, n) ]" M3 @+ ~8 ]
, N+ E# r! k$ {, w* ~小白:东哥,还有吗?1 N! K: E% o$ @- O+ Z: {8 R$ Y* P
1 y" t, Q1 }% {) Y0 s
3 w# v) J$ S+ R大东:关闭一些不需要的服务,条件允许的话可以关闭没有必要的共享,也包括C$、D$等管理共享。完全单机的用户可直接关闭Server服务。
@" |& [% Y# R. b: U& n" _( l# n8 F/ ~8 h. d* K% C
8 F7 h J N, g g& T小白:懂了。东哥,通过你刚才的讲解,我回忆起来了许多东西。+ G& E8 [4 i! @3 c: t
1 ~0 t @% F3 Y: K, H, c- q# ?, I
, N* Y% I4 B; H' t9 |2 t' W+ G) ^大东:温故而知新嘛!, ~( J% ]1 U( @; Y& g3 O1 s- R
0 v2 s% ]- n) s+ ^9 `- x1 C
# r) m8 K6 R% r6 t; S) U u来源:中国科学院计算技术研究所
, E/ x1 h* }( S7 i9 o! a' ~- K" d5 [& j! a0 M) V% [ o0 d
2 H; T" J" ~% W- o: J
温馨提示:近期,微信公众号信息流改版。每个用户可以设置 常读订阅号,这些订阅号将以大卡片的形式展示。因此,如果不想错过“中科院之声”的文章,你一定要进行以下操作:进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」3 {7 j% q( A. Y0 W, K, d. r. i6 Q
! L9 G2 A2 [0 j
: _, J, {0 U7 J: k1 y# ?
. i( v$ }. ^9 R7 U2 y3 D
% ~* l X- f# R0 d( o
. P* }$ R) p; |$ O5 F0 W# Z* U* h: m6 K% M
来源:http://mp.weixin.qq.com/s?src=11×tamp=1574510402&ver=1992&signature=Tvxe-dv0Pli2WOy8jx6-Hw7rnv9HYpasycZdOiA27ix8cPjxnROs0K1kkvdUU-4qOv15U3svsKSNcI-QAj5BtJGG0rX5r4iFdLPgzGOu9EXoWlxVCaXxE1chtktOJjK2&new=1
. ^0 V* ~1 o( Y1 N免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |