一、灰鸽子病毒事件
/ J; [ W8 `0 B
0 i9 B. j' f w6 B
- H6 S1 I1 m6 m1 ~1 M1 \% X小白:东哥,我最近弄了个新鲜的东西,可以远程控制我家的家电,例如空调,电视,冰箱……: Y& N) U: [" {& h7 ~8 E. k4 D
( R" n: P1 g+ f9 `9 O' V
: \3 o& B' o% L' F大东:嗯,这个不错!4 x' Z- P' t0 J! e: U2 W8 H2 e1 t
2 i8 s9 _5 ?+ |% [
6 J; `& A$ v# i手机远程控制空调。图片来源于网络
% d5 z) R4 N) s' m; z) c! S0 o+ M9 |% z- A. j0 r0 E
' ]% z$ Y7 Z) r: |% `1 n! S1 h5 t* d
小白: 是啊,最便捷的是有手机、有WIFI就可以实现远程控制功能。* b) ~1 |; [+ E; m0 G9 M: O$ D
* S+ U) t+ y' c/ L" i/ h( ]
: U6 A6 h* n1 U0 s大东:等一下,便捷中往往隐藏着“邪恶”,你可要小心灰鸽子病毒啊!
; E" C5 P9 G7 x' x1 p
. A" l( G' ~6 o
" h: y E0 v' o" l: @小白:灰鸽子病毒? f$ U+ W E. a! w- c: H
" k: Z4 L* s! j
; f% W, O+ }/ H1 p$ {5 d& ?
大东:是的。灰鸽子本身是一款远程控制软件,但是因为恶意使用,又被认为是一个集多种控制方法于一体的木马病毒,一旦用户电脑不幸感染,可以说用户的一举一动都在黑客的监控之下,要窃取账号、密码、照片、重要文件都轻而易举。
0 O. [/ x' J4 r9 @3 q* U, b
. Y8 i- Y" Q- o3 w5 J* E9 i+ g+ L/ \- V3 p
小白:我的天啊,那我的隐私岂不是完全暴露在大家的面前了?!
# ?% i, c! M0 a7 W# i: T2 o1 C
1 T0 C$ i I3 ?2 } f: X9 G0 K
8 V& t+ _' y% Y; j# E7 a7 l大东:不仅如此,他们还可以连续捕获远程电脑屏幕,还能监控被控电脑上的摄像头,自动开机(不开显示器)并利用摄像头进行录像。
$ c' X V" C8 k! E- U X8 A
1 l& D) O% f8 o1 G1 R" c% @4 D' Q
$ T. p, B: w$ H$ R小白:简直是太可怕了!假如我没洗头、没洗脸、穿着邋遢衣服的样子被拍了下来,上传到网上的话……& A [# ]$ S7 m, n: `
r# V' `& d+ o" }- A
5 ]; a4 a4 r2 j, n' f1 g
* V! Z2 N) ]7 I( E `$ |8 } p& w8 R
大东:emmmmm……你这个颜值估计上传了也没人看。我们言归正传,继续说灰鸽子的事。随着“灰鸽子2007”的发布,当年仅3月1日至13日,金山毒霸截获的灰鸽子变种数就达到521个。盗号、偷窥、敲诈以及骇人听闻的公开“叫卖”,危害更甚于熊猫烧香。
7 R2 g% b8 X: |
) {$ J* B5 f3 A; [+ b: {
3 \# k5 s/ Q" H# I小白:这群人简直太可恶了!
7 }& [) t$ f1 L9 r) p$ n9 p# C5 i% ?: V( [
9 X( `* F5 J! N3 {3 j/ J r
大东:而且灰鸽子已不再是一个单纯的病毒,其背后是一条制造病毒、贩卖病毒、病毒培训为一体的黑色产业链,从某种意义上讲,灰鸽子的危害超出熊猫烧香10倍!
2 l% a0 Z, W( K/ T9 F 5 f# f6 a7 S- J0 a' M2 ^3 B: T% a. f
3 c& O. Q5 B5 ]1 y! r7 s1 M( k
灰鸽子产业链示意图。图片来源于网络
6 I* B% q1 `& D: D* r$ a5 P
4 w# w0 r) |6 J7 X( s, i小白:东哥,那我们就拿灰鸽子一点办法都没有吗?0 h! @2 C5 g9 I9 k0 c+ Z1 T3 o; X# W
6 c& U' g' h% g8 M S* v& `
8 H i: Y' i: U) Y; A5 N大东:灰鸽子虽然强大,但它并不是完美无缺的。让我为你解析一下这个难缠的病毒。
- h# z0 r$ J! }5 _5 e7 Y
7 f- A' V% l/ E" {" ^& v二、灰鸽子病毒发展史9 c z% M1 j% F/ T+ }! V* e4 F1 s
, ?& h |+ Z" ?3 P8 t& C3 Z
& o- V+ J( y7 Y o大东:先来说说灰鸽子病毒的发展史吧。 M9 U% m9 \; b) G
. v+ e/ e# z* w2 o
1 d) d- O9 [6 o) X3 y小白:好呀,我最喜欢听历史了。
# G/ \) C) |1 a3 `( Z
- W/ V1 v5 T: ~9 i9 }
" M0 j& V) \5 X8 n' M, W, P! w大东:灰鸽子病毒发展分三个时期:诞生期、模仿期、飞速发展期。) t7 J$ a- G+ \
B! Y, O" Q/ ~3 p! `9 n& u7 V' j! J" i- K
小白:先说说诞生期吧。+ t2 q0 f* N' `/ ]+ S
( }* A' z( h% x3 R/ h/ ]
' i# i3 v9 @" V1 M: Z' M/ j/ n大东:诞生期自2001年,灰鸽子诞生之日起,就被反病毒专业人士判定为最具危险性的后门程序,并引发安全领域的高度关注。2004年、2005年、2006年,灰鸽子木马连续三年被国内各大杀毒厂商评选为年度十大病毒,灰鸽子也因此声名大噪,逐步成为媒体以及网民关注的焦点。; V. S5 O8 S( G" f/ a
2 F2 Z4 z9 z- e/ I/ h" i0 G
* S2 b; G+ U' w G; j
小白:最具危险性的后门程序,听上去很厉害嘛。! n! d0 w3 O3 Y
I% i$ l9 u: U0 f* e6 U" w
6 R2 h! L; p" Y# T: O大东:模仿时期,灰鸽子最早出现的时候是在模仿“冰河”。它采用Delphi编写,采用了源码共享的方式出现在互联网。虽然“灰鸽子”在当时的名气不及“冰河”,但由于开放源码的方式让“灰鸽子”逐渐增大了传播量。
- z- j2 {$ N/ i+ v% C0 B7 H
, A4 S. S) Q# [5 R" G1 c
# @; \) X( J) M$ k& z" A小白:这么说来冰河是灰鸽子的“前辈”啦!那冰河也是远程控制软件吗?
f; _5 {) i; x) B4 p
; ]& y% y* H* X1 E6 o6 Y. G' h8 @6 {' ?! A
大东:是的。冰河的可怕之处在于自动跟踪目标机屏幕变化,同时可以完全模拟键盘及鼠标输入、记录各种口令信息。还包括获取系统信息,例如计算机名、注册公司、当前用户等多项系统数据。远程关机、远程重启计算机、锁定鼠标及锁定注册表等多项功能限制也是他的拿手强项。$ P3 n/ u- C7 {3 N4 J
+ O( ?5 `: i8 A/ ^$ {. u; i* e( Z
. I* u J, E* P/ o7 I" Z) Q小白:说远了,该说灰鸽子病毒飞速发展时期了。 h0 P% E) Y# E9 ^5 W( I9 ?2 M
& E- m; G; {) [4 @& f# [5 c
* w+ c3 G: k/ {+ j
大东:2004和2005这两年之间,灰鸽子逐步进入了成熟的状态,由于源码的释放,大量变种在互联网中衍生。2004年灰鸽子总共发现了1000多变种,而在2005年,这个数字迅速上升到了3000多。% g9 L- k2 J3 g) V$ l1 B
1 K. N; q, Z2 {. K9 q3 a0 g2 x7 p' R6 a5 r
小白:变种也太快了吧?!6 y5 m& m' d3 ?% D/ U& q/ B$ c
& X$ W% z4 J9 O3 p- u# z% a8 }
" @* i7 ~4 D k; x1 z4 p! y大东:“灰鸽子”最大的危害在于潜伏在用户系统中,由于其使用的“反弹端口”原理,一些在局域网(企业网)中的用户也受到了“灰鸽子”的侵害,使得受害用户数大大提高。2004年的感染统计为103483人,而到2005年数字攀升到890321人。“灰鸽子”本身所具备的键盘记录、屏幕捕捉、文件上传下载和运行、摄像头控制等功能,将使用户没任何隐私可言,更可怕的是服务端高度隐藏自己,使受害者无从得知感染此病毒。
1 l2 U; o7 L( s% Z: L
& O i% z$ x w: f
/ Z9 p* l1 Z. h: {& ]小白:令人害怕!
! w3 O" h. j6 j, V2 ], `% ^ ( i' ]: t: k2 u
三、灰鸽子病毒清除办法
& n. @, P% r; f# k7 j2 N* j
1 {2 N4 v' [& s5 @# C+ B1 ^9 b
* z0 v; @* G2 R2 f$ ~, ~0 ]大东: 但是利用一些检测方法就可以将灰鸽子揪出来。通过研究发现,无论自定义的服务器端文件名是什么,一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点,我们可以较为准确手工检测出灰鸽子服务端。+ w4 Z) i: z' Z8 S [# u
! `, w B0 t5 v D$ ~* q/ t/ N5 ^
小白:那是把“_hook.dll”结尾的文件删掉就可以吗?
6 F8 e+ w1 N/ n2 j3 p! u4 d$ J$ c, |4 [1 O3 B; }1 F' V% i `
4 h9 {# g/ ~. F大东:当然不是那么简单。由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模式下进行,而且要把Windows设置成显示所有文件。并打开Windows的“搜索文件”,文件名称输入“_hook.dll”,搜索位置选择Windows的安装目录(默认98/xp为C:\windows,2k/NT为C:\Winnt)。经过搜索,在Windows目录(不包含子目录)下发现了一个名为Game_Hook.dll的文件。: _8 O/ |' ^# i) b! |
: J9 t. ~2 x, f5 L% K# g. p
! m2 D$ O% r" B0 v
小白:这就是灰鸽子文件了吧!
: E# B6 i! D, ~7 {) L: k9 p
+ z( L5 g m. w, N+ W' t. F5 S* h9 K- J- n
大东:还不能确定。如果Game_Hook.DLL是灰鸽子的文件,则在操作系统安装目录下还会有Game.exe和Game.dll文件。这才是真正的灰鸽子的服务端,不能“冤枉”好人啊! W( d S ~8 B
) F. K' ]' } \- O: K- P. n3 `# h
7 q* R* j: |# C+ e' ]1 KGame.exe和Game.dll。图片来源于网络 : ]+ W* N' s1 W2 j d
7 T" M, u7 _+ t: j
: Y _$ \, G) ?9 }4 Q, i8 \, o# B. [小白:原来是在这样。把这几个文件删除就可以和灰鸽子病毒say goodbye了吧!8 ]+ X! l" z' |0 I v8 E
! Z/ C3 O% a5 g# J. h7 Z
+ {& Y5 m V4 ]! K1 p
大东:总共有两步,这只是其中的一步。首先清除灰鸽子的服务,注意一定要在注册表里完成。清除灰鸽子的服务一定要先备份注册表,或者到纯DOS下将注册表文件更名,然后再去注册表删除灰鸽子的服务。因为病毒会和EXE文件进行关联。
+ n( d5 b' F2 j; T2 E p: u' B8 U# t; R$ S0 B3 _
5 X2 v5 c; [9 [8 ~$ P* p4 T& f
小白:东哥,具体应该怎么做啊?教教我呗。+ H; ~8 ?6 d8 b. W
7 L; B1 w6 p: @# C; g, ~' d
! ?7 H& g8 V$ A* x1 U大东:第一步打开注册表编辑器(点击“开始”- “运行”,输入“Regedit.exe”,确定。),打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。第二步点击菜单“编辑” “查找”—“查找目标”输入“game.exe”,点击确定,我们就可以找到灰鸽子的服务项(此例为Game_Server,每个人这个服务项名称是不同的)。第三步删除整个Game_Server项。5 f: g- A5 D o$ V# N: o8 X7 V, n
$ T2 z1 i7 H& {6 L
" D% S6 Q+ z- ~2 [查找game.exe。图片来源于网络 ' s5 U3 [, E3 c% D4 s
- u8 }- i# m: ?0 z小白:这其中的第二步是不是就是我刚才说的删除Game.exe和Game.dll。. F/ o- K9 P% f
1 s! L8 z6 r/ E
+ J" }- C* [- J+ ~8 H N+ [% y大东:bingo!你只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件,然后重新启动计算机,就彻底告别灰鸽子病毒了。
4 b4 p: s# F3 a% l5 u, e
5 D" g1 O/ h5 a5 `四、防范措施
) w- I, {% A O6 _4 |; f# \$ n8 }4 ^% u& S
小白:东哥,那该如何防范灰鸽子这类病毒呢?: q+ D# A' j% e+ ^' X: [0 p
/ p+ O6 k+ u2 Q5 W% {
3 N- a+ [2 d0 ]! g+ g) \大东:有些办法虽然有些原始,但总是最好用的。比如说给系统安装补丁程序。通过Windows Update安装好系统补丁程序(关键更新、安全更新和Service pack)。
& n' \; B$ B0 c W9 R6 }" {* C- z: z4 F8 M
5 A9 [9 q2 ]3 W$ r+ ]& F
小白:东哥,我们老说打补丁,补丁的专业解释是什么呀?我们为什么要定期打补丁呢?
% I G4 n w% T0 e- J- o
# W) i$ x* n! y8 U$ a/ ^
: n, D; b& m; u( X4 A8 _7 z大东:补丁就是操作系统的不定期错误漏洞修复程序。一般在开发过程中,一开始有很多因素是没有考虑到的,但是随着时间的推移,存在的漏洞问题会慢慢被发现。这时候,为了对系统本身存在的漏洞问题进行修复,系统开发者会发布相应的补丁。黑客如果利用这些漏洞,就可以得到计算机的控制权。
) A- m4 e3 |9 G2 ]) C' u. R$ [/ O! @8 E
9 J, R6 v, J; E7 v( O0 {7 q, n
小白:东哥,还有类似的“原始”方法吗?
) V, d/ d+ W( s, X3 [) G, g
& g- n$ h' Z) ^2 E. V1 w% W. x- g5 X
7 z5 U' R; T" d1 C& t5 C) F
& E- t% ~4 J4 }. F8 ^2 s大东:给系统管理员帐户设置足够复杂足够强壮的密码,最好能是10位以上,字母+数字+其它符号的组合;也可以禁用/删除一些不使用的帐户。如果记忆力够好,经常改变密码也是也是个不错的选择。2 n7 F- T5 }9 ]- W& w" f2 R) U
; g' G5 {# ? K$ ^0 S$ L- r8 _2 L v% f
小白:对,比如说我就经常换密码。' x% ], R# p5 i+ O5 H: K7 k
! t9 z" N$ X% v/ B# X' \) i" }$ M$ [# {% w& o8 R6 N; }4 v7 a
大东:哎,不过你也总是忘记密码。不过单纯地讲,换密码这个习惯还是不错的。' E, M# r$ q' i2 ^
" f0 H% `9 I$ B7 x+ t, j5 L5 f$ U0 p* I
小白:东哥,你总揭我老底,就不能给我留点面子嘛?
: ?: `/ A, P( }* _1 c
" a" A _. o9 D5 u/ I8 j/ N* Z' P* ^. D' y4 i
大东:(装作听不见的样子) 嗯,我们继续说防范的方法。经常更新杀毒软件(病毒库),安装并合理使用网络防火墙软件是十分必要的。网络防火墙在防病毒过程中起到至关重要的作用,能有效地阻挡自来网络的攻击和病毒的入侵。( h' b2 @: ~7 e4 L
, R" z' v0 M, M5 ~( e6 d
* R! H: {/ e+ A/ G小白:东哥,还有吗?, e% l' \1 V- Q w2 v' T8 N
' h- Y% Z8 T& R5 K* }" h7 b
9 q5 i& Q9 ~3 i1 o# ?大东:关闭一些不需要的服务,条件允许的话可以关闭没有必要的共享,也包括C$、D$等管理共享。完全单机的用户可直接关闭Server服务。
* a, }6 {4 H5 o1 m& P: }( m4 S; f- u5 q; g
# O) @: @: ?+ Y+ n7 Y) a
小白:懂了。东哥,通过你刚才的讲解,我回忆起来了许多东西。8 n0 A) X! ]3 V' J; |
# M% N3 Y+ G6 k2 G/ M
& ?9 Z) U2 C7 z) m
大东:温故而知新嘛!5 {4 ?% Y {0 f& F
/ I+ `* y g4 b5 a9 I
" A* P/ A; S4 i8 b5 t来源:中国科学院计算技术研究所* H' r' ?; k7 h6 \: a! c1 `
9 T- R! P) {& D) `: z
2 i* O7 @6 l5 l. V
温馨提示:近期,微信公众号信息流改版。每个用户可以设置 常读订阅号,这些订阅号将以大卡片的形式展示。因此,如果不想错过“中科院之声”的文章,你一定要进行以下操作:进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」
% J7 I( K) S# Q
/ Q4 C2 H) T1 J5 ?+ w0 B) t# D
" T( z# K0 {9 Y0 ^& ~) h: {0 v' V" S+ L& M. d3 ]' f: O' l
X- f. m: W" Z$ j$ t
 1 ]2 M3 t1 H# m6 c
% q8 N: ~9 \! G9 m) M2 `$ b
来源:http://mp.weixin.qq.com/s?src=11×tamp=1574510402&ver=1992&signature=Tvxe-dv0Pli2WOy8jx6-Hw7rnv9HYpasycZdOiA27ix8cPjxnROs0K1kkvdUU-4qOv15U3svsKSNcI-QAj5BtJGG0rX5r4iFdLPgzGOu9EXoWlxVCaXxE1chtktOJjK2&new=1, b4 B9 T2 {8 h# g
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-11-23 20:40:29
