|
|
一、灰鸽子病毒事件
8 `0 r. r, i# m# d+ a- W1 M+ Q7 w: G K0 G$ o0 U
# V/ L$ y5 M( ? ~: K小白:东哥,我最近弄了个新鲜的东西,可以远程控制我家的家电,例如空调,电视,冰箱……+ g' c: }; K+ a
" r- P" R I+ o: n
! J2 L k! G% U7 ^% f9 c) T, c5 Z) N大东:嗯,这个不错!& R# }9 ~$ N! O: m9 e5 b* ?
N5 m, ^( k1 b3 O Z+ X( Y
/ b" F+ {1 l( }
手机远程控制空调。图片来源于网络 . e" ~% ^! J/ d2 Z2 t. j; y& N: N
8 w& A$ X! h7 E9 Z0 m' x) o
1 c! U9 C- t3 t# p+ K小白: 是啊,最便捷的是有手机、有WIFI就可以实现远程控制功能。
u r L& K6 }) u7 D
% Z0 ~. X) u9 `0 P% }1 t! y2 I# g8 z" e% l" Z
大东:等一下,便捷中往往隐藏着“邪恶”,你可要小心灰鸽子病毒啊!9 @& e+ T7 Y. {& L& H9 S! n
3 j! Q+ w/ k6 G6 t' U( ~4 E2 c) i k4 p w
小白:灰鸽子病毒?
- l% L. D3 E I7 s3 y8 ^# g" i4 S$ x
/ `( E5 h$ a% Q" {0 \: d0 W9 \
大东:是的。灰鸽子本身是一款远程控制软件,但是因为恶意使用,又被认为是一个集多种控制方法于一体的木马病毒,一旦用户电脑不幸感染,可以说用户的一举一动都在黑客的监控之下,要窃取账号、密码、照片、重要文件都轻而易举。! x2 T2 y& M, @7 {2 \
+ a h( b6 M) j& p6 ^% L. r; e
$ f& R1 c( _. X3 v3 R小白:我的天啊,那我的隐私岂不是完全暴露在大家的面前了?!
& @; {7 Y0 h, z) F+ L! h/ q& } ^8 x( E3 B2 i
2 T! v( \, H0 h
大东:不仅如此,他们还可以连续捕获远程电脑屏幕,还能监控被控电脑上的摄像头,自动开机(不开显示器)并利用摄像头进行录像。
4 c( j/ l5 L4 W- t8 v! p1 W: A3 U) {+ t+ m0 u
9 [5 r2 w% y8 e. t: C% z0 O
小白:简直是太可怕了!假如我没洗头、没洗脸、穿着邋遢衣服的样子被拍了下来,上传到网上的话……' ]# S# T4 P5 C7 J
; W" F$ @7 w( U' F2 S
$ p4 S1 c6 ^7 ~6 g* B8 z3 x& [
0 u$ q7 `+ m" F
; |! @: P" k. }# K* t8 }大东:emmmmm……你这个颜值估计上传了也没人看。我们言归正传,继续说灰鸽子的事。随着“灰鸽子2007”的发布,当年仅3月1日至13日,金山毒霸截获的灰鸽子变种数就达到521个。盗号、偷窥、敲诈以及骇人听闻的公开“叫卖”,危害更甚于熊猫烧香。$ s) I+ k# x- M. e+ p( H! ?
' W4 S+ W# b! P7 I! J* O- f
0 Q" `, D4 H$ A3 g" @! m4 u3 B: E小白:这群人简直太可恶了!
4 j. Z8 g% c/ ~/ u- Y% L5 A) f/ t, r6 B4 w4 l7 c; l9 [
% ]2 }5 ~* V; l {8 B: R
大东:而且灰鸽子已不再是一个单纯的病毒,其背后是一条制造病毒、贩卖病毒、病毒培训为一体的黑色产业链,从某种意义上讲,灰鸽子的危害超出熊猫烧香10倍!
2 D9 h$ ? M1 t/ ] * ?1 L0 n+ N: M. S0 Z+ R) T
# Q: z% U; M! R; U- Y灰鸽子产业链示意图。图片来源于网络 : e0 Q! U; H+ j4 e% `" Y" `. ~
' i0 |0 h% v3 D+ H
小白:东哥,那我们就拿灰鸽子一点办法都没有吗?
/ C2 ~: b! J' O( Q2 b4 j3 {6 X% M& h1 V
+ n8 l) W0 V/ @4 L7 _. R大东:灰鸽子虽然强大,但它并不是完美无缺的。让我为你解析一下这个难缠的病毒。
. a3 N" k+ e# Z+ \0 d: D ( A2 r5 Z! _* a7 U
二、灰鸽子病毒发展史- }7 D; r' m: ~6 l7 c8 D" k! o
, K" [" Y+ S' K2 l) V( q1 [3 ] L! Z7 R4 x
大东:先来说说灰鸽子病毒的发展史吧。9 Q z/ s$ [4 x- U* a& m0 x
4 ] P* { R6 y& G5 N
# D( w, \) r9 r. b) O( }4 o1 Z0 Y [小白:好呀,我最喜欢听历史了。
6 c @: }# S% t- ]( R& @: f. ]0 D; f5 k5 V
5 V$ Q5 Z& \; u5 l7 ?
大东:灰鸽子病毒发展分三个时期:诞生期、模仿期、飞速发展期。
9 `; C) Q6 s; T
5 _* I5 O$ N% z: s; |% u$ k
" o" H2 E6 u% Y% {9 D小白:先说说诞生期吧。0 `8 H2 x `, T$ H6 b
2 f+ S' u% w; v; }
% @, p! f! t2 ^! H大东:诞生期自2001年,灰鸽子诞生之日起,就被反病毒专业人士判定为最具危险性的后门程序,并引发安全领域的高度关注。2004年、2005年、2006年,灰鸽子木马连续三年被国内各大杀毒厂商评选为年度十大病毒,灰鸽子也因此声名大噪,逐步成为媒体以及网民关注的焦点。4 k T. }, `1 I
3 s z* D/ _% s
2 z$ c9 I! q* f0 A小白:最具危险性的后门程序,听上去很厉害嘛。; h1 X5 p6 O% _) `7 K D r! c
Q1 v* f# v6 S0 Z$ l) k: I
2 n# y& H; C$ x/ q) u$ z5 F+ A
大东:模仿时期,灰鸽子最早出现的时候是在模仿“冰河”。它采用Delphi编写,采用了源码共享的方式出现在互联网。虽然“灰鸽子”在当时的名气不及“冰河”,但由于开放源码的方式让“灰鸽子”逐渐增大了传播量。
* y2 e& K5 m# P# s/ y) o
* @; D B; _+ e/ Z/ i: s# t
+ I; k; f | J小白:这么说来冰河是灰鸽子的“前辈”啦!那冰河也是远程控制软件吗?
* L# C& y$ D4 d# ~4 r$ P
9 H9 Z# G$ a$ H( Y) D3 t' E/ m, j4 A, G% _6 {, t
大东:是的。冰河的可怕之处在于自动跟踪目标机屏幕变化,同时可以完全模拟键盘及鼠标输入、记录各种口令信息。还包括获取系统信息,例如计算机名、注册公司、当前用户等多项系统数据。远程关机、远程重启计算机、锁定鼠标及锁定注册表等多项功能限制也是他的拿手强项。& _' X! q. f" m4 N# I
, [# \0 [' h; l& n9 e1 Y6 d# @+ ~: t1 |& q/ `; y3 v
小白:说远了,该说灰鸽子病毒飞速发展时期了。" Q# g/ q" T% O0 A
$ |3 z2 [0 l- c7 T
/ B! R8 G' R: O+ _) t- }: w大东:2004和2005这两年之间,灰鸽子逐步进入了成熟的状态,由于源码的释放,大量变种在互联网中衍生。2004年灰鸽子总共发现了1000多变种,而在2005年,这个数字迅速上升到了3000多。( ~1 g# M0 M/ B4 `% Y# o2 @. n
3 c+ e* C @+ U
( J& v4 |$ ?3 W小白:变种也太快了吧?!) h C7 |+ Y( {2 Z
2 t8 W2 H* P: Z" v! c9 j
2 q. w) O+ P g' g
大东:“灰鸽子”最大的危害在于潜伏在用户系统中,由于其使用的“反弹端口”原理,一些在局域网(企业网)中的用户也受到了“灰鸽子”的侵害,使得受害用户数大大提高。2004年的感染统计为103483人,而到2005年数字攀升到890321人。“灰鸽子”本身所具备的键盘记录、屏幕捕捉、文件上传下载和运行、摄像头控制等功能,将使用户没任何隐私可言,更可怕的是服务端高度隐藏自己,使受害者无从得知感染此病毒。
( m+ z# N$ M$ A3 ^: q# C3 V7 j: k! N) \, ?! G/ L+ v, r* E
9 N1 J P4 Z. B: x
小白:令人害怕!
8 P3 n/ m4 ^1 u5 p! i ' ~4 e Y! T: Z% W) y
三、灰鸽子病毒清除办法6 P3 e% ^4 Z4 k4 e# c* P; O8 [
/ |, D3 x. {: Y. ?+ x
3 r; p, N# `, k- E4 B3 {
大东: 但是利用一些检测方法就可以将灰鸽子揪出来。通过研究发现,无论自定义的服务器端文件名是什么,一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点,我们可以较为准确手工检测出灰鸽子服务端。0 s5 `: Z) T& o! o
1 d% W( g1 i3 \/ I5 o0 ~
& w8 d# u) x# Y, p5 o4 g小白:那是把“_hook.dll”结尾的文件删掉就可以吗?
" f1 i4 O3 u, d# g; u
' {; j) W6 v. Y! z
: s" h6 x" A* h* R4 V8 M2 }5 g6 r; `大东:当然不是那么简单。由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模式下进行,而且要把Windows设置成显示所有文件。并打开Windows的“搜索文件”,文件名称输入“_hook.dll”,搜索位置选择Windows的安装目录(默认98/xp为C:\windows,2k/NT为C:\Winnt)。经过搜索,在Windows目录(不包含子目录)下发现了一个名为Game_Hook.dll的文件。
6 X+ j& A. j# w0 {" L! P
) V4 x$ b7 G$ ^6 L/ W
. S1 ~4 K9 s) P( P5 @小白:这就是灰鸽子文件了吧!% }2 P2 m8 b5 `5 x Y
; F! L5 A- d$ M4 H. a$ q6 @
6 F4 n# \! M$ [6 t$ X. G8 }: k4 l大东:还不能确定。如果Game_Hook.DLL是灰鸽子的文件,则在操作系统安装目录下还会有Game.exe和Game.dll文件。这才是真正的灰鸽子的服务端,不能“冤枉”好人啊!
$ ?- B, y$ z' k& P 9 X6 q0 z/ p2 G% K. B6 `5 m9 Y
* C, {& x# C4 ?+ mGame.exe和Game.dll。图片来源于网络
8 G3 @1 m, Q. N6 i$ t3 o* k
9 i% S4 [2 n$ v* P' k4 v! V; ?9 X5 q* v3 H4 e/ j3 S
小白:原来是在这样。把这几个文件删除就可以和灰鸽子病毒say goodbye了吧!
; W' ]: I Q0 X7 h/ Y2 A. F/ w+ T0 i5 L9 {
4 y" B+ B/ N, t) `" q$ o大东:总共有两步,这只是其中的一步。首先清除灰鸽子的服务,注意一定要在注册表里完成。清除灰鸽子的服务一定要先备份注册表,或者到纯DOS下将注册表文件更名,然后再去注册表删除灰鸽子的服务。因为病毒会和EXE文件进行关联。
0 J6 {, f% c a* x. a& @
1 X. Z" e9 C* p; L: y/ Y2 ~ b( w% N. J7 N& y1 h5 C8 o
小白:东哥,具体应该怎么做啊?教教我呗。' _9 Q0 m z+ Y7 Z, q# |( h; v
" y( s/ G* Z& W$ P: g! H
% w2 v9 n$ x# z( c5 G- W8 v$ U大东:第一步打开注册表编辑器(点击“开始”- “运行”,输入“Regedit.exe”,确定。),打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。第二步点击菜单“编辑” “查找”—“查找目标”输入“game.exe”,点击确定,我们就可以找到灰鸽子的服务项(此例为Game_Server,每个人这个服务项名称是不同的)。第三步删除整个Game_Server项。
' v0 d6 h, G8 k' W
) d- j( Y6 C+ U3 f$ d5 U: p- K$ g. ]
查找game.exe。图片来源于网络
6 O# W0 _/ K4 M' E- J& d1 l A h1 @7 ^& S; F; o! H
小白:这其中的第二步是不是就是我刚才说的删除Game.exe和Game.dll。
* ?0 |+ a# D4 T. w
+ Q6 r c) _! u" n
6 S# Z. e- C9 v- g大东:bingo!你只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件,然后重新启动计算机,就彻底告别灰鸽子病毒了。
4 V6 `, F z. r! D ' h+ [% z7 o* b* _4 u. o* L. T
四、防范措施
2 Z2 u) C) A7 s& _
" b1 l$ W9 e% n; d/ v+ T小白:东哥,那该如何防范灰鸽子这类病毒呢?
" H, |# M, H4 T+ t7 o7 k& p0 i# j4 e% d% W# F% A' x$ Q9 E
1 X. V; m; U' M q7 b大东:有些办法虽然有些原始,但总是最好用的。比如说给系统安装补丁程序。通过Windows Update安装好系统补丁程序(关键更新、安全更新和Service pack)。# v- W$ T( X5 u/ s: _: _
+ `! n. A6 w5 j8 i; F
3 ^% ?/ }& {# F/ U小白:东哥,我们老说打补丁,补丁的专业解释是什么呀?我们为什么要定期打补丁呢?- f' ^) G/ z. p" V. H& G9 Z* z$ w: x
3 F1 {( j: @3 K
2 e5 g4 o& Q" u$ k$ B* |大东:补丁就是操作系统的不定期错误漏洞修复程序。一般在开发过程中,一开始有很多因素是没有考虑到的,但是随着时间的推移,存在的漏洞问题会慢慢被发现。这时候,为了对系统本身存在的漏洞问题进行修复,系统开发者会发布相应的补丁。黑客如果利用这些漏洞,就可以得到计算机的控制权。8 m* }/ v& }& k
# O0 Z1 f. b9 ?# w& i, i$ Z8 _& O
7 d7 T$ s3 p" L2 [/ m( \9 B$ x小白:东哥,还有类似的“原始”方法吗?# t8 _1 }5 v. R7 a7 O
! X$ S! C+ Y% }8 {7 G; |
$ k; X* W# r7 [0 R( Y* \
) Y- b7 N/ V5 j! n
& G7 p# \1 E- c& H3 D a4 T! V
大东:给系统管理员帐户设置足够复杂足够强壮的密码,最好能是10位以上,字母+数字+其它符号的组合;也可以禁用/删除一些不使用的帐户。如果记忆力够好,经常改变密码也是也是个不错的选择。) [4 H& _" \+ u+ G+ `7 g5 n
6 x/ B2 V+ X# s0 O$ M3 C0 @0 ^. |9 c, p2 U% l6 {3 N
小白:对,比如说我就经常换密码。
1 k7 |- q; ^6 X, `# x: Y) c9 m! \% P6 u
4 K/ C% T2 ]* z
大东:哎,不过你也总是忘记密码。不过单纯地讲,换密码这个习惯还是不错的。
" J/ S3 K2 c$ \7 O. `# N( o) o8 r' |9 M8 X2 a
, m" o. z3 t3 a' T: T. q
小白:东哥,你总揭我老底,就不能给我留点面子嘛?3 I, E, j! A& N' C$ m& |8 \5 C
5 O) J* ?9 k" h9 H" f
$ V7 W- z2 e5 W! q大东:(装作听不见的样子) 嗯,我们继续说防范的方法。经常更新杀毒软件(病毒库),安装并合理使用网络防火墙软件是十分必要的。网络防火墙在防病毒过程中起到至关重要的作用,能有效地阻挡自来网络的攻击和病毒的入侵。' L9 e4 s) Z# R: c7 \. F$ w
1 Z& W& E8 t9 Q- Q% G
) y1 j a F7 F5 _5 B
小白:东哥,还有吗?4 q2 k! R/ H' z/ Q% v$ B
5 L: B. s$ Y+ O' v, a7 _
+ q( F* G8 D. j1 i
大东:关闭一些不需要的服务,条件允许的话可以关闭没有必要的共享,也包括C$、D$等管理共享。完全单机的用户可直接关闭Server服务。
) E0 H+ W' n U4 k
* B m( r4 d5 G" X. Y& E& c, a
$ j% `7 ~" _/ ?8 n; J1 b. h( q小白:懂了。东哥,通过你刚才的讲解,我回忆起来了许多东西。
( z8 k6 _6 J: s$ Q, _7 r* o
" r4 ^" W: z# {( E4 p0 D, l% p$ c: S; |7 c k8 C
大东:温故而知新嘛!
: @% B) Y0 I9 f8 m' Y6 z0 ]. ~/ z! f8 t) \* K8 N% f4 m
. J0 N, U3 Y, F
来源:中国科学院计算技术研究所7 z; d; n9 ~0 V3 H+ q& F4 @& P
1 c* F! s' P0 [4 {9 t. |6 B
: g. x* H8 o# {* t. a温馨提示:近期,微信公众号信息流改版。每个用户可以设置 常读订阅号,这些订阅号将以大卡片的形式展示。因此,如果不想错过“中科院之声”的文章,你一定要进行以下操作:进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」
6 o* p& z M1 D: A
8 g" q6 x1 \1 T, j1 H+ k( I# u# K/ j6 ]0 i1 G7 M2 O7 e7 m& L( V
5 W- y/ O; A' P# u9 l, z D5 Q$ Y; H. p8 p9 o
 6 g) V3 Z8 J5 c& z" E% @
p+ d0 k- N) I- w4 A9 W% ?* g来源:http://mp.weixin.qq.com/s?src=11×tamp=1574510402&ver=1992&signature=Tvxe-dv0Pli2WOy8jx6-Hw7rnv9HYpasycZdOiA27ix8cPjxnROs0K1kkvdUU-4qOv15U3svsKSNcI-QAj5BtJGG0rX5r4iFdLPgzGOu9EXoWlxVCaXxE1chtktOJjK2&new=1, C* Z& y# c) [6 K, }
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?立即注册
×
|
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-11-23 20:40:29
