一、灰鸽子病毒事件
6 B, _7 u) ~/ p1 y3 h/ D/ I3 Z) E( f
4 h7 T' i* i/ ~, t4 h2 O! b; {2 P, X5 R- M; u
小白:东哥,我最近弄了个新鲜的东西,可以远程控制我家的家电,例如空调,电视,冰箱……
5 o; ~! Y! y6 Y5 a0 C: E, i7 x, q. Q
$ d8 ]2 Q3 g) L% V
大东:嗯,这个不错!
" {# @6 W* d. H7 {, y 6 e0 h1 l4 ^$ H! ]' v
2 N, ?0 O: q: d: [
手机远程控制空调。图片来源于网络
/ T7 c9 M5 a5 k: d" ?$ O/ P0 E8 K3 y% _6 I
& P& I/ J9 D" }$ r6 l8 P小白: 是啊,最便捷的是有手机、有WIFI就可以实现远程控制功能。
: S; T) N$ _! e+ x( d! z8 d# E2 e% {4 J- x! a& i# I
" S9 A$ ^, D* f3 X- \大东:等一下,便捷中往往隐藏着“邪恶”,你可要小心灰鸽子病毒啊!
3 P6 k0 U! U4 u+ j1 D6 `3 _2 Q/ S& p, I5 u9 Q! R
1 f5 x( k- b5 r6 Y- Q5 [
小白:灰鸽子病毒?; Y; Q1 Q1 `9 n8 _
( m4 \1 L0 d" k- {- y5 F. L7 q. J- N
/ P* e( o8 y9 b0 p7 \) S4 O大东:是的。灰鸽子本身是一款远程控制软件,但是因为恶意使用,又被认为是一个集多种控制方法于一体的木马病毒,一旦用户电脑不幸感染,可以说用户的一举一动都在黑客的监控之下,要窃取账号、密码、照片、重要文件都轻而易举。" E1 D& ]2 I3 f( j" v( l' @& ?
$ ^. w9 }! m! @- \
" e) D! w) L( k3 u5 @6 y9 N# m1 h小白:我的天啊,那我的隐私岂不是完全暴露在大家的面前了?!
! f5 W% {. b+ t1 G, s
0 i! _3 s1 A( D6 F; ~* x
* F1 F6 s1 @' C( d/ H/ y- b大东:不仅如此,他们还可以连续捕获远程电脑屏幕,还能监控被控电脑上的摄像头,自动开机(不开显示器)并利用摄像头进行录像。
/ c2 e% f l/ K. D
' G8 d* {" s) @) h
# k8 p2 i2 p' v8 {" z% J$ R( Z小白:简直是太可怕了!假如我没洗头、没洗脸、穿着邋遢衣服的样子被拍了下来,上传到网上的话……
# Z0 I, `, c# J' S2 y 8 b5 [% k5 z; `: O) g7 _
0 `- n, y4 N$ I7 t* u) Q. v. s) F
. j; P& Q4 C' s3 e! x7 R' ~0 v
. {$ f1 r& @: b7 x/ x& `大东:emmmmm……你这个颜值估计上传了也没人看。我们言归正传,继续说灰鸽子的事。随着“灰鸽子2007”的发布,当年仅3月1日至13日,金山毒霸截获的灰鸽子变种数就达到521个。盗号、偷窥、敲诈以及骇人听闻的公开“叫卖”,危害更甚于熊猫烧香。
3 L. ~9 V- Q; o) K
; `: f3 z9 [0 I! \+ k
, n& x( H2 y+ ]0 [/ S( x小白:这群人简直太可恶了!0 J5 j; z6 r! a$ o5 H( h# f
7 I6 C: E- @0 l9 C8 c
z, @# ~( q/ v3 R
大东:而且灰鸽子已不再是一个单纯的病毒,其背后是一条制造病毒、贩卖病毒、病毒培训为一体的黑色产业链,从某种意义上讲,灰鸽子的危害超出熊猫烧香10倍! : g) l, T% F0 l6 L' W7 I
4 r" J# s' I% u4 c
1 L4 s. U. N# k& q% _' f灰鸽子产业链示意图。图片来源于网络 2 ?) {3 L* o6 H3 L w' M K
& V8 t( J9 S8 n; M$ c
小白:东哥,那我们就拿灰鸽子一点办法都没有吗?6 m# `0 g4 }9 y5 e# {
) Q) j9 m* i3 j0 k6 e3 G
n- q4 B3 X% s. w大东:灰鸽子虽然强大,但它并不是完美无缺的。让我为你解析一下这个难缠的病毒。' T6 @1 T7 y- b9 K- `+ V: h
8 @7 E+ T: R7 |- w
二、灰鸽子病毒发展史' I1 s: a1 ]8 D9 P
( N2 U, M( O! C$ M8 `' f5 k4 N
大东:先来说说灰鸽子病毒的发展史吧。0 F6 }; g1 [, {" R
5 K9 q$ `- M0 X6 |( F; n: Y
& K4 ]6 H& C0 m" D5 s小白:好呀,我最喜欢听历史了。
3 {9 L4 A( i. p4 G- L) D
0 o5 z1 S( T) T$ [0 q# t9 @
1 R, [7 x2 h9 }4 B1 d6 N大东:灰鸽子病毒发展分三个时期:诞生期、模仿期、飞速发展期。
# P9 {1 _5 W2 I7 X4 e5 x9 V: e, S) Q9 \8 B
- P& e! h5 l/ q/ k小白:先说说诞生期吧。
$ v) s+ A* p( b$ D
. j7 S' |2 ~* F5 ~/ F) {* ?: }0 a# M4 I A
大东:诞生期自2001年,灰鸽子诞生之日起,就被反病毒专业人士判定为最具危险性的后门程序,并引发安全领域的高度关注。2004年、2005年、2006年,灰鸽子木马连续三年被国内各大杀毒厂商评选为年度十大病毒,灰鸽子也因此声名大噪,逐步成为媒体以及网民关注的焦点。
) X0 E0 O c' v& ]( m9 \& C' y6 F
8 ?* k! [3 j! ]2 H6 N5 d
小白:最具危险性的后门程序,听上去很厉害嘛。
0 C, f6 p1 X: F, R+ J' ]6 t
! O; o& R" ^3 l
; X6 p, @+ X' S: J* _大东:模仿时期,灰鸽子最早出现的时候是在模仿“冰河”。它采用Delphi编写,采用了源码共享的方式出现在互联网。虽然“灰鸽子”在当时的名气不及“冰河”,但由于开放源码的方式让“灰鸽子”逐渐增大了传播量。
; ?4 ]" Z- N+ y7 Y7 d9 n+ D0 I" O7 V; z+ V6 m$ S7 F: f. K
% j/ t8 Z1 w) ^4 h/ j
小白:这么说来冰河是灰鸽子的“前辈”啦!那冰河也是远程控制软件吗?
9 o, ?* ~ x* u% C' m7 B
& v2 d, f1 Y+ Q1 a. P( T8 [3 y; c8 |* Z
大东:是的。冰河的可怕之处在于自动跟踪目标机屏幕变化,同时可以完全模拟键盘及鼠标输入、记录各种口令信息。还包括获取系统信息,例如计算机名、注册公司、当前用户等多项系统数据。远程关机、远程重启计算机、锁定鼠标及锁定注册表等多项功能限制也是他的拿手强项。
5 n6 A- }: I4 w; q. O; M7 t3 `0 o
% E8 f0 `+ q. N1 @5 D$ c
小白:说远了,该说灰鸽子病毒飞速发展时期了。/ i* N! e* d5 S" Y
9 n* r& N8 J& T# Y r6 T
0 Y2 {# F. N# H大东:2004和2005这两年之间,灰鸽子逐步进入了成熟的状态,由于源码的释放,大量变种在互联网中衍生。2004年灰鸽子总共发现了1000多变种,而在2005年,这个数字迅速上升到了3000多。5 _; R6 S6 N* \, [' m5 V
, V. O% v+ g7 ]1 M1 w7 v; v4 G
' c- F0 c" n: X" U$ q# n* U
小白:变种也太快了吧?!
: ^$ M! l% Y& d* a0 x: d+ q! }8 z
: \# x. t7 b$ s' [2 \/ h2 w% ^$ P) ?7 a; q& G
大东:“灰鸽子”最大的危害在于潜伏在用户系统中,由于其使用的“反弹端口”原理,一些在局域网(企业网)中的用户也受到了“灰鸽子”的侵害,使得受害用户数大大提高。2004年的感染统计为103483人,而到2005年数字攀升到890321人。“灰鸽子”本身所具备的键盘记录、屏幕捕捉、文件上传下载和运行、摄像头控制等功能,将使用户没任何隐私可言,更可怕的是服务端高度隐藏自己,使受害者无从得知感染此病毒。
( P6 k0 C8 `6 O! B# ?
5 ~! ?$ N- @' U4 N; f0 {$ W' m: Q$ ^; [
小白:令人害怕!
( ~- j: u* M) ?; D/ W; q
9 A2 P5 V+ U5 b$ L) ^7 Z0 X8 U- F三、灰鸽子病毒清除办法; }' r% t7 `% _: j
* L; f; p5 v" y: ]6 n# x- @
2 a9 [. Z+ j5 V. P! f8 ]& j
大东: 但是利用一些检测方法就可以将灰鸽子揪出来。通过研究发现,无论自定义的服务器端文件名是什么,一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点,我们可以较为准确手工检测出灰鸽子服务端。
; K4 M, v# m3 ?, O3 R; @1 Q- B3 S' l* A3 ?! M
8 ]3 U# [9 u. Z1 E+ {( {% o小白:那是把“_hook.dll”结尾的文件删掉就可以吗?
3 q7 V, s& ?- b9 O5 b( m4 n# S: Q" H; P
# n1 u4 }9 V3 I `8 y* @, D6 Z& e
$ }! d0 N# }/ n$ x大东:当然不是那么简单。由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模式下进行,而且要把Windows设置成显示所有文件。并打开Windows的“搜索文件”,文件名称输入“_hook.dll”,搜索位置选择Windows的安装目录(默认98/xp为C:\windows,2k/NT为C:\Winnt)。经过搜索,在Windows目录(不包含子目录)下发现了一个名为Game_Hook.dll的文件。: b$ P( U, d# o% h2 q
0 e M/ Q2 U9 E
3 G2 T U7 D, [$ S小白:这就是灰鸽子文件了吧!
; O& A/ u6 X: w+ ?5 Q( d; P7 v2 J$ a- ?2 S; p
$ r! T9 M- z7 c, `大东:还不能确定。如果Game_Hook.DLL是灰鸽子的文件,则在操作系统安装目录下还会有Game.exe和Game.dll文件。这才是真正的灰鸽子的服务端,不能“冤枉”好人啊!
$ y5 u/ R; c8 ] ! d6 \4 J7 w; Q
8 L' K7 [& N6 n" IGame.exe和Game.dll。图片来源于网络 5 m) R d0 o( a, |! j+ B7 ~3 e4 S' F
% M: \/ r5 L: J# t5 D
z0 k5 e! Z& J, C
小白:原来是在这样。把这几个文件删除就可以和灰鸽子病毒say goodbye了吧!
' h: ], p& o4 X+ \; u* w
! I4 H0 o" R* _- ]4 p+ a% j
: p. n0 L4 n7 b大东:总共有两步,这只是其中的一步。首先清除灰鸽子的服务,注意一定要在注册表里完成。清除灰鸽子的服务一定要先备份注册表,或者到纯DOS下将注册表文件更名,然后再去注册表删除灰鸽子的服务。因为病毒会和EXE文件进行关联。4 D5 c/ {8 G5 m: q
3 R$ o' v) I7 f$ z% T7 n5 T( `
5 J* n+ g$ w; x, ~: z a. ~% g小白:东哥,具体应该怎么做啊?教教我呗。
; Q G# }/ l' t, k' B4 Q* o6 G
# ?2 b& |1 O' E* b& W: x/ [0 L; x) N! E% L' e# T8 [
大东:第一步打开注册表编辑器(点击“开始”- “运行”,输入“Regedit.exe”,确定。),打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。第二步点击菜单“编辑” “查找”—“查找目标”输入“game.exe”,点击确定,我们就可以找到灰鸽子的服务项(此例为Game_Server,每个人这个服务项名称是不同的)。第三步删除整个Game_Server项。
, m9 q7 B+ _$ x3 ^3 d6 e
+ s8 x( ~# G+ F& R* N/ Q' s
4 O. V1 Z( L- s( Q ?; K查找game.exe。图片来源于网络
) T+ X7 a. `! C% Z1 s, X
5 z: V' [: G2 a小白:这其中的第二步是不是就是我刚才说的删除Game.exe和Game.dll。! }0 m- u. W( K* t4 F
1 @( R. S. a/ O0 A* a2 k
6 x2 ~ I/ |( ~% x6 Y \大东:bingo!你只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件,然后重新启动计算机,就彻底告别灰鸽子病毒了。" F0 }( }% Y$ @5 Z% Z7 a( L
+ q; l0 \: v: M0 S4 a! |; \
四、防范措施
9 P9 ?- ]' e& ?7 B
7 N2 [! v% l! X) M" D2 X! w$ w小白:东哥,那该如何防范灰鸽子这类病毒呢?& y# b0 \8 ~2 g8 b6 ~4 x" P1 ^# B+ S
7 x5 b( s; v0 c! j0 y1 i1 _% e ^, r, l
大东:有些办法虽然有些原始,但总是最好用的。比如说给系统安装补丁程序。通过Windows Update安装好系统补丁程序(关键更新、安全更新和Service pack)。
8 w: A- o4 `, G7 P5 r
# `9 u0 }& D# A+ |9 _( Z" `4 ?' I6 E5 ?9 `, \
小白:东哥,我们老说打补丁,补丁的专业解释是什么呀?我们为什么要定期打补丁呢?
; F( I& u& i$ s$ T. x- N7 U6 e, D$ |- @% ?! Z, V
J* t8 `2 j' ^1 W1 f! ^' R# _
大东:补丁就是操作系统的不定期错误漏洞修复程序。一般在开发过程中,一开始有很多因素是没有考虑到的,但是随着时间的推移,存在的漏洞问题会慢慢被发现。这时候,为了对系统本身存在的漏洞问题进行修复,系统开发者会发布相应的补丁。黑客如果利用这些漏洞,就可以得到计算机的控制权。% s2 u$ D4 B. f5 ?
6 E4 u8 ]$ L; N0 k, D
, m1 D8 \# S, N' p2 O. |* s小白:东哥,还有类似的“原始”方法吗?# ], M8 ^' T3 T& q
# v+ z6 I: ~8 p& F m- J6 q* I W% H# C
' [+ r7 R' P$ Z& y) s: ^; q3 U
' W+ c/ z6 ?! z8 v6 ^1 l X大东:给系统管理员帐户设置足够复杂足够强壮的密码,最好能是10位以上,字母+数字+其它符号的组合;也可以禁用/删除一些不使用的帐户。如果记忆力够好,经常改变密码也是也是个不错的选择。7 f$ S W0 z& U* m- _
4 s9 l+ t8 e s. A7 i! n- _5 x2 n* Z! f; ?6 V* G% d" l# \
小白:对,比如说我就经常换密码。
$ }) ?- ~4 j# x. {
5 z3 E2 A) W$ w1 z: b9 c. B# j" d8 U* E; u! {( o9 { b) A
大东:哎,不过你也总是忘记密码。不过单纯地讲,换密码这个习惯还是不错的。8 X0 l" S$ u3 E: {2 Q" d4 l5 V
& t1 b7 p! w- ]8 `. \
3 B, `7 p* d0 l/ I- t. f* p小白:东哥,你总揭我老底,就不能给我留点面子嘛?
) }! B3 c+ U; J& J Q1 B; @
f0 P6 j# m9 n9 ^" F1 K% c: j U) {+ H" g5 E7 U
大东:(装作听不见的样子) 嗯,我们继续说防范的方法。经常更新杀毒软件(病毒库),安装并合理使用网络防火墙软件是十分必要的。网络防火墙在防病毒过程中起到至关重要的作用,能有效地阻挡自来网络的攻击和病毒的入侵。1 V& Z3 R' }; X0 D: ?: \5 ]& c
, v6 W* n1 G. v2 M
" o( b2 P( d9 ~: e小白:东哥,还有吗?
6 ]" c n9 h0 [7 |# ]1 I1 s$ m. U( U3 j. d2 ~& l& p- q
6 B* h; P+ i$ D2 e大东:关闭一些不需要的服务,条件允许的话可以关闭没有必要的共享,也包括C$、D$等管理共享。完全单机的用户可直接关闭Server服务。
R5 v5 M C; X8 a0 M2 t: E) N
+ w* E2 m$ ^0 ^" s4 @2 u9 s9 S* z( c$ o# N) c0 R0 s& c/ \5 c
小白:懂了。东哥,通过你刚才的讲解,我回忆起来了许多东西。
7 y1 `+ v- a9 ^/ y/ {3 w) ]5 q1 s4 ?( y2 W" q
. Q" b: e( `/ M1 R大东:温故而知新嘛!
( h( v e9 g1 T' H. g5 G, ~+ C2 R6 }9 r' I" F0 }( Z8 C
p F6 Q' j3 y来源:中国科学院计算技术研究所
+ A) @) P K' ^* H j1 } e* C- h+ N- x
0 a* c2 X0 d2 g b' I/ ~
温馨提示:近期,微信公众号信息流改版。每个用户可以设置 常读订阅号,这些订阅号将以大卡片的形式展示。因此,如果不想错过“中科院之声”的文章,你一定要进行以下操作:进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」* d. k' L. f, k. w( R% z
1 {! ~8 L' T) v) S
- Y! y/ Y7 F9 k+ v2 S' I
6 s$ m5 A+ E/ p
0 K8 a2 p W4 Y/ Y: a- {2 o 7 q5 z8 b5 I a( x
- @8 R6 Y4 j9 W5 V! T
来源:http://mp.weixin.qq.com/s?src=11×tamp=1574510402&ver=1992&signature=Tvxe-dv0Pli2WOy8jx6-Hw7rnv9HYpasycZdOiA27ix8cPjxnROs0K1kkvdUU-4qOv15U3svsKSNcI-QAj5BtJGG0rX5r4iFdLPgzGOu9EXoWlxVCaXxE1chtktOJjK2&new=1
- r s1 {$ w0 F. K# n免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-11-23 20:40:29
