|
|
一、灰鸽子病毒事件5 A1 r7 T: ]# F& h2 j
. N! f; `" e# R1 u# ~
+ k( @6 v1 {$ d* p, s" B
小白:东哥,我最近弄了个新鲜的东西,可以远程控制我家的家电,例如空调,电视,冰箱……
+ ]7 q% ?' g" X2 r$ m+ f+ p a u' R9 W
3 s. T. e) l$ {- a
9 ]6 |( M3 m3 E9 N0 m: i4 U6 V" M1 r大东:嗯,这个不错!) e4 I3 i0 g, C: n! c
) q7 S: f# }8 y3 \& F& K. |- J5 o- d! ?( Q% P
手机远程控制空调。图片来源于网络 , Z9 ~) S9 V0 }! d
. ~ P: I2 Y- W% }" u2 P- _& t2 }6 o) |7 W8 P; z$ X
小白: 是啊,最便捷的是有手机、有WIFI就可以实现远程控制功能。4 H9 T6 r( [/ Q6 I, _8 C9 B
0 i5 o u0 I7 ?9 B; W
* l+ e2 s9 ?5 s9 \5 k
大东:等一下,便捷中往往隐藏着“邪恶”,你可要小心灰鸽子病毒啊!
{! ]3 a" z8 Q G0 N6 M7 z. @9 M: X$ }9 i6 i' ~
5 ]- U% V. d; Z+ ^- g
小白:灰鸽子病毒?+ [' g1 O: Z# P" \' R# t
# S. |) t0 v$ |4 j& h2 N
! v" P$ B$ O2 q- j大东:是的。灰鸽子本身是一款远程控制软件,但是因为恶意使用,又被认为是一个集多种控制方法于一体的木马病毒,一旦用户电脑不幸感染,可以说用户的一举一动都在黑客的监控之下,要窃取账号、密码、照片、重要文件都轻而易举。/ D" {( G7 J% x0 A/ i
3 X& D& @; T/ b
- H0 e% ]" Z- Q2 h8 C小白:我的天啊,那我的隐私岂不是完全暴露在大家的面前了?!8 I9 o+ A4 n+ m" P+ L# f4 Q& W& b
: ~1 h( Y& s' M
2 ?* C1 C/ }" Y ]; [3 W9 Y大东:不仅如此,他们还可以连续捕获远程电脑屏幕,还能监控被控电脑上的摄像头,自动开机(不开显示器)并利用摄像头进行录像。
7 T. ]- g7 |- b) v. n( |- w; d5 s% S
9 i) X& y5 \8 q4 z! D. G3 y- u
7 j$ G) `9 U0 n- h0 x d( d小白:简直是太可怕了!假如我没洗头、没洗脸、穿着邋遢衣服的样子被拍了下来,上传到网上的话……
5 Y/ r% e( F2 W$ v/ i4 p
4 ^, k$ W$ \9 b/ Z2 c P1 }$ ~- K4 N+ Q' b/ u3 D9 [
6 M- ?8 [6 r3 r; }
j+ W( G3 E) F8 K4 R7 U& G2 _大东:emmmmm……你这个颜值估计上传了也没人看。我们言归正传,继续说灰鸽子的事。随着“灰鸽子2007”的发布,当年仅3月1日至13日,金山毒霸截获的灰鸽子变种数就达到521个。盗号、偷窥、敲诈以及骇人听闻的公开“叫卖”,危害更甚于熊猫烧香。
6 X8 e0 j0 v$ F% y9 o1 m
$ Q& Q1 I6 P R; e3 Y8 d+ K% T9 k; w
' \ \+ I+ m4 N1 k9 B" x" T小白:这群人简直太可恶了!
+ t' x T2 L, v
5 t0 G/ s: r7 q- R# ?. F/ @9 U' V6 Z0 C9 ]" z" [# o
大东:而且灰鸽子已不再是一个单纯的病毒,其背后是一条制造病毒、贩卖病毒、病毒培训为一体的黑色产业链,从某种意义上讲,灰鸽子的危害超出熊猫烧香10倍!
5 _/ U9 N6 c; `* q; _; q) T+ j8 h o 8 t% c4 S* J% e
/ u& ?& ? Z& a0 {+ D6 t
灰鸽子产业链示意图。图片来源于网络 , G# n' B2 N$ E+ \$ {4 U
7 D- H) c/ U1 C$ m# P2 Q
小白:东哥,那我们就拿灰鸽子一点办法都没有吗?* M$ E- o6 `- g! h5 ? e9 J0 N
1 Q5 q- h y' I: c9 J( I* [$ D* s1 o( ~, a0 P& N K( b
大东:灰鸽子虽然强大,但它并不是完美无缺的。让我为你解析一下这个难缠的病毒。
. K9 |, g& H- H1 Q! `6 q! M4 S , F9 \$ h- b/ n9 K& @, u
二、灰鸽子病毒发展史5 a; }0 x1 f- A4 x
$ s. T# L8 _2 _9 p) ?+ T
# |: c) ^' G$ n/ Z9 x
大东:先来说说灰鸽子病毒的发展史吧。, q* L# X- W! ^ E6 k+ x3 j4 q
3 m5 |4 P1 l1 E
! z9 _: f5 S+ B0 w小白:好呀,我最喜欢听历史了。
/ z& y" | T7 v: W. \0 Z# ?- S, J5 _/ `% Q- F3 x
& _ f! {( \$ D! ^
大东:灰鸽子病毒发展分三个时期:诞生期、模仿期、飞速发展期。9 o0 Y9 w" R2 m& f8 q G* H
$ v+ l2 W, n# G8 \/ ^
$ s% a/ M3 M1 I0 \: l o, t4 L小白:先说说诞生期吧。
& n: \( v( k9 G" H* U7 M8 p. g8 ]# l: X3 j( o. Y; Z; N
2 n' \, j. d+ T) K5 [- D X; ]- x大东:诞生期自2001年,灰鸽子诞生之日起,就被反病毒专业人士判定为最具危险性的后门程序,并引发安全领域的高度关注。2004年、2005年、2006年,灰鸽子木马连续三年被国内各大杀毒厂商评选为年度十大病毒,灰鸽子也因此声名大噪,逐步成为媒体以及网民关注的焦点。
; X# {! U( [+ D" n- O( F3 Q0 f8 f$ N9 k2 Z/ M
! N5 j2 o: D2 N) w' n9 Q" L小白:最具危险性的后门程序,听上去很厉害嘛。
' _# _2 A. G* ^0 H9 E/ o8 ]& {7 H: V) q% X
) ]- I! R: N: `5 E6 ?9 ^4 P @1 ~
大东:模仿时期,灰鸽子最早出现的时候是在模仿“冰河”。它采用Delphi编写,采用了源码共享的方式出现在互联网。虽然“灰鸽子”在当时的名气不及“冰河”,但由于开放源码的方式让“灰鸽子”逐渐增大了传播量。8 m, b" m& F3 v1 h3 M
. T+ C% d4 J- @, F a
7 Y8 Q" n8 a, d0 k1 f小白:这么说来冰河是灰鸽子的“前辈”啦!那冰河也是远程控制软件吗?
% S. |" O/ d# P& L- j" d9 i- K9 S0 P9 R) Q! _
5 h* R7 z" f( U
大东:是的。冰河的可怕之处在于自动跟踪目标机屏幕变化,同时可以完全模拟键盘及鼠标输入、记录各种口令信息。还包括获取系统信息,例如计算机名、注册公司、当前用户等多项系统数据。远程关机、远程重启计算机、锁定鼠标及锁定注册表等多项功能限制也是他的拿手强项。
) V6 B. x. g! X- i
' D% B7 o5 }; E2 L- X3 ~2 Z8 L4 Z
9 ?+ q8 c* L$ `2 b: m/ W0 W小白:说远了,该说灰鸽子病毒飞速发展时期了。
1 m4 ~1 c E, a6 Z" E
' Z* X# T( D/ _& b4 I9 R" O1 w
! Y3 P3 z+ @3 V! y# E! P5 q大东:2004和2005这两年之间,灰鸽子逐步进入了成熟的状态,由于源码的释放,大量变种在互联网中衍生。2004年灰鸽子总共发现了1000多变种,而在2005年,这个数字迅速上升到了3000多。
' k, ?) [$ p- {7 Z( M6 B9 I4 s
9 }4 P) F. J. d/ a' \9 s: }3 F- a( V* M- b( @: V W% }: E
小白:变种也太快了吧?!9 T1 l2 I" d8 [* ^1 @) n
# M. }, l# r1 m
/ h0 F6 x$ `# ?& \- j B5 s( i' H大东:“灰鸽子”最大的危害在于潜伏在用户系统中,由于其使用的“反弹端口”原理,一些在局域网(企业网)中的用户也受到了“灰鸽子”的侵害,使得受害用户数大大提高。2004年的感染统计为103483人,而到2005年数字攀升到890321人。“灰鸽子”本身所具备的键盘记录、屏幕捕捉、文件上传下载和运行、摄像头控制等功能,将使用户没任何隐私可言,更可怕的是服务端高度隐藏自己,使受害者无从得知感染此病毒。
# s" d) g; h5 k1 X2 S6 Z
4 q# h( u3 M# w) g' y7 @ U6 D
E! T& r& g; ~' I0 X) r+ H7 Q" k小白:令人害怕!
, Y" F5 i1 P J7 n* ]" e, |
$ L I, m: }% D6 M9 Y三、灰鸽子病毒清除办法
1 ~ U6 f" K, Y8 s1 v: V2 h+ t
. O( G1 D a7 ` k
4 ?7 x3 Y% b: r0 y大东: 但是利用一些检测方法就可以将灰鸽子揪出来。通过研究发现,无论自定义的服务器端文件名是什么,一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点,我们可以较为准确手工检测出灰鸽子服务端。
0 ~3 y$ A! Y' h {/ b, g$ G: q; T6 y7 E: ~! |
# V9 [* g- ~6 f+ y- G小白:那是把“_hook.dll”结尾的文件删掉就可以吗?3 l+ u5 C1 B1 P/ a
) Y; G/ L! X/ O# k( L! T* g, U+ v
1 _+ c S+ t# n1 {
大东:当然不是那么简单。由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模式下进行,而且要把Windows设置成显示所有文件。并打开Windows的“搜索文件”,文件名称输入“_hook.dll”,搜索位置选择Windows的安装目录(默认98/xp为C:\windows,2k/NT为C:\Winnt)。经过搜索,在Windows目录(不包含子目录)下发现了一个名为Game_Hook.dll的文件。/ }3 \5 e2 n! o5 T$ X$ V/ ^
3 Z; a$ n: `+ L0 y _6 w5 V! k6 \ K# `$ F
小白:这就是灰鸽子文件了吧!9 H3 _/ E+ e# P7 \
5 `7 b1 k; M# F% o% S' ~: W* y. b8 i, p
+ T( r3 B: k4 }0 E大东:还不能确定。如果Game_Hook.DLL是灰鸽子的文件,则在操作系统安装目录下还会有Game.exe和Game.dll文件。这才是真正的灰鸽子的服务端,不能“冤枉”好人啊!, ]' y7 u" }. T3 d: A3 R
- w! [9 F3 m- s7 H
9 W: Y& O3 V4 F% W# ]' f6 \( g- F
Game.exe和Game.dll。图片来源于网络 + `! f5 t. Z$ C- z# E
" M( @0 w1 u) y" e" r5 B% i g. x- R- U, O( ?, g
小白:原来是在这样。把这几个文件删除就可以和灰鸽子病毒say goodbye了吧!
* b* D1 R, b( I2 S; d2 T. S: u3 i2 s9 |% `
5 ^0 T' O0 f( `2 l, L0 h大东:总共有两步,这只是其中的一步。首先清除灰鸽子的服务,注意一定要在注册表里完成。清除灰鸽子的服务一定要先备份注册表,或者到纯DOS下将注册表文件更名,然后再去注册表删除灰鸽子的服务。因为病毒会和EXE文件进行关联。
0 @0 C2 l; j. J7 V" K# K9 m: x% }9 T
( ^+ f) h9 j# V- c8 ~5 A- E
小白:东哥,具体应该怎么做啊?教教我呗。
3 j# F ?" J* f7 B# [/ `$ W$ r4 O$ C
- Z& a: Y# a& E4 y# N# T) c; g, `
+ c1 ~( H6 h2 U/ i大东:第一步打开注册表编辑器(点击“开始”- “运行”,输入“Regedit.exe”,确定。),打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。第二步点击菜单“编辑” “查找”—“查找目标”输入“game.exe”,点击确定,我们就可以找到灰鸽子的服务项(此例为Game_Server,每个人这个服务项名称是不同的)。第三步删除整个Game_Server项。
$ K- p5 j. `! e/ E# a
/ ?: {4 ~2 v/ B& A. S* O) n% M
5 O# E1 P( K f& T查找game.exe。图片来源于网络 # |1 \' }& L% @
" P# n( m0 o0 u H5 \3 F; j+ A1 ^# G
小白:这其中的第二步是不是就是我刚才说的删除Game.exe和Game.dll。
. e6 r! `: l- f: [$ z
x9 a4 G1 ~* F% _" E& ]: F1 H; r
, ^# ^3 Y0 K0 e9 V' m大东:bingo!你只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件,然后重新启动计算机,就彻底告别灰鸽子病毒了。' G. z+ e8 Y2 T6 R& n
8 P! f! I1 {% ^* p/ P5 m# p( m
四、防范措施
# w4 s! I8 x5 U
( i2 l! |6 j/ c, ]" s小白:东哥,那该如何防范灰鸽子这类病毒呢?
8 ?, Z8 ?* G1 q6 R2 S8 @+ Z9 ]! x0 X8 @
* X$ \2 c2 h, W- j" c大东:有些办法虽然有些原始,但总是最好用的。比如说给系统安装补丁程序。通过Windows Update安装好系统补丁程序(关键更新、安全更新和Service pack)。
: x7 ~( C( g/ j3 x0 W' b. y5 [, Z8 z. `9 S: o. e
, d# o& u1 i* f4 U/ R小白:东哥,我们老说打补丁,补丁的专业解释是什么呀?我们为什么要定期打补丁呢?
- o0 @+ J9 I* n) f @) O# S( t2 t d4 I
! o) T- e) e, ]2 [
大东:补丁就是操作系统的不定期错误漏洞修复程序。一般在开发过程中,一开始有很多因素是没有考虑到的,但是随着时间的推移,存在的漏洞问题会慢慢被发现。这时候,为了对系统本身存在的漏洞问题进行修复,系统开发者会发布相应的补丁。黑客如果利用这些漏洞,就可以得到计算机的控制权。
) N3 a& h/ ^6 Q' B \( A- {
# D( v, a; o# I) ?+ N) O3 y
& K8 F1 T2 s# O) ~$ y3 D5 X- |小白:东哥,还有类似的“原始”方法吗?
- t2 c9 I2 ?' o ) F# W9 y. G/ M7 m+ \+ Q
. U, z+ _2 ?' _8 q7 G- `
- N: [7 ~# ^# w1 Z, {
. ]1 P5 [5 X$ [+ [大东:给系统管理员帐户设置足够复杂足够强壮的密码,最好能是10位以上,字母+数字+其它符号的组合;也可以禁用/删除一些不使用的帐户。如果记忆力够好,经常改变密码也是也是个不错的选择。
' [. c, M3 w$ ^8 q4 n3 ~
4 I( j5 x- t+ \+ \7 b: {& c& p. {7 U+ O( j8 s
小白:对,比如说我就经常换密码。* X" T' r; M, W- {* l- P8 Y/ b
7 `6 ]+ ?( V- v% X/ y# Q$ R$ x
) [, b9 k5 J5 `1 ^/ Z
大东:哎,不过你也总是忘记密码。不过单纯地讲,换密码这个习惯还是不错的。
, \: p }- U( r7 ~4 H( [( q
: \$ \* }( V* W6 ]& f- k" y2 H7 N2 [3 |2 k; L% d$ R. H7 `
小白:东哥,你总揭我老底,就不能给我留点面子嘛?
v% w# w% M. I7 x7 N: C
5 D* _5 |3 B2 X$ @" c; N# |
$ l/ Y8 a4 S8 X8 b& P3 d1 p: y2 w大东:(装作听不见的样子) 嗯,我们继续说防范的方法。经常更新杀毒软件(病毒库),安装并合理使用网络防火墙软件是十分必要的。网络防火墙在防病毒过程中起到至关重要的作用,能有效地阻挡自来网络的攻击和病毒的入侵。* {6 g8 ]; \1 O# L! k E1 I$ Q
* b6 e# Z6 U8 e! C& L/ `
6 ?; ]% }1 T& o3 K小白:东哥,还有吗?
# K: t& m; W& k; T+ L$ P% A7 P$ `) R" n7 s9 o
5 p' r1 r& H3 c
大东:关闭一些不需要的服务,条件允许的话可以关闭没有必要的共享,也包括C$、D$等管理共享。完全单机的用户可直接关闭Server服务。6 u; ?7 G4 \1 m3 W
8 }7 A3 v4 f: M& Q* s2 S V' x' r) y. g
小白:懂了。东哥,通过你刚才的讲解,我回忆起来了许多东西。 m; H% U+ `, P7 N0 d4 [7 P4 c
1 C% Q, x' e+ f* u
% v) Z7 F5 Z& y) e! T6 f
大东:温故而知新嘛!
$ P1 Q8 k4 y) H3 I, D, Q8 `- I& x2 @* F9 @5 h; v
. S5 v7 y. s$ W, H0 n
来源:中国科学院计算技术研究所
+ O5 X, B$ e' N- s1 p3 W+ l
8 Q/ U4 m8 X" O1 d+ w- K; x4 e* ]0 t; e' U& Y) D6 S! D! F
温馨提示:近期,微信公众号信息流改版。每个用户可以设置 常读订阅号,这些订阅号将以大卡片的形式展示。因此,如果不想错过“中科院之声”的文章,你一定要进行以下操作:进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」2 j0 F! F$ h; [6 ]
% ?( X- u$ O9 ~8 i5 ?
* g) O% y* S4 ]8 P9 F$ ?" O
4 [6 k; ] W# j4 N5 b
: I- \6 Z1 ?4 t7 b 5 l# [& |" T! }
# A/ Y1 C% g/ `7 ^
来源:http://mp.weixin.qq.com/s?src=11×tamp=1574510402&ver=1992&signature=Tvxe-dv0Pli2WOy8jx6-Hw7rnv9HYpasycZdOiA27ix8cPjxnROs0K1kkvdUU-4qOv15U3svsKSNcI-QAj5BtJGG0rX5r4iFdLPgzGOu9EXoWlxVCaXxE1chtktOJjK2&new=1; Z, T# L& j/ `: c
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?立即注册
×
|
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-11-23 20:40:29
