|
|
一、灰鸽子病毒事件; O: G% B# y* L; B' K
6 u4 b9 I$ f' a# E4 q/ [3 A. N% p+ n! l2 T) h. [5 |
小白:东哥,我最近弄了个新鲜的东西,可以远程控制我家的家电,例如空调,电视,冰箱……! a, }1 F4 g: B0 g: r8 v
) I; N; ?6 H4 G& @" |
, E( G2 `" ?5 E* R- c! ^4 Z1 L, p
大东:嗯,这个不错!+ E @! _" ]' x
- N% a2 a2 w1 X$ t6 | r& K
! k k( z3 g8 r$ k% ]9 |, _手机远程控制空调。图片来源于网络 * p; r$ |: ?( l+ D2 I
8 y- S6 \9 _3 f% a
! l: R8 E0 V* b% i小白: 是啊,最便捷的是有手机、有WIFI就可以实现远程控制功能。1 { w X0 N R3 v1 N" D
: A$ T1 B% [! X( G; D2 e7 \6 N
& c7 Z' c2 m. v0 A大东:等一下,便捷中往往隐藏着“邪恶”,你可要小心灰鸽子病毒啊!) K1 c( O; M0 Q/ \
" w$ b4 z- }: b4 c, Z
$ ~. @* k# ^) n# N
小白:灰鸽子病毒?7 y. Z1 V7 o" K' ~- b9 W
* L7 G% n* B7 F7 Y. ]8 A/ e! c3 _* {. e0 K4 q: @
大东:是的。灰鸽子本身是一款远程控制软件,但是因为恶意使用,又被认为是一个集多种控制方法于一体的木马病毒,一旦用户电脑不幸感染,可以说用户的一举一动都在黑客的监控之下,要窃取账号、密码、照片、重要文件都轻而易举。2 D+ Y. P( ?) ~6 Z: ?
8 e) P: s! \3 t4 r& ^8 t4 H8 j! m: R5 T! ~
小白:我的天啊,那我的隐私岂不是完全暴露在大家的面前了?!
: {* R2 g. i( ~
7 z' A, {2 \4 { b5 x5 I" v# {% w$ p3 E3 K+ \: o; e
大东:不仅如此,他们还可以连续捕获远程电脑屏幕,还能监控被控电脑上的摄像头,自动开机(不开显示器)并利用摄像头进行录像。
$ r; |' K, l5 b: n7 [6 J2 C* N; P
1 [7 p5 s/ t U3 B, b小白:简直是太可怕了!假如我没洗头、没洗脸、穿着邋遢衣服的样子被拍了下来,上传到网上的话……
7 C0 [% p G5 @
4 A; k; u$ M9 p! N @) E& n3 z- Z' O$ `: n% u* T, [8 r* b& t
' ~# Z% d% i( i3 D0 T: Q7 ]
3 ]% g/ l0 @3 e- F大东:emmmmm……你这个颜值估计上传了也没人看。我们言归正传,继续说灰鸽子的事。随着“灰鸽子2007”的发布,当年仅3月1日至13日,金山毒霸截获的灰鸽子变种数就达到521个。盗号、偷窥、敲诈以及骇人听闻的公开“叫卖”,危害更甚于熊猫烧香。
; x2 @0 \4 {( Y& f3 L$ R" p
; {+ D3 S% g( F5 h* h0 t# c7 S3 L
: p! c) f1 r! \/ A- |小白:这群人简直太可恶了!
: a5 c1 b& |2 M4 R7 h2 a
R( [! ]- \9 x6 K" H
4 g* u2 T6 k' c) J大东:而且灰鸽子已不再是一个单纯的病毒,其背后是一条制造病毒、贩卖病毒、病毒培训为一体的黑色产业链,从某种意义上讲,灰鸽子的危害超出熊猫烧香10倍! 3 g) i4 l: U' M: A1 S
1 c, o4 f) Q2 i5 y, W8 e R$ ?7 }
d, J- N& d( N' T3 J: F灰鸽子产业链示意图。图片来源于网络
) l! [( W5 b" @! }
% @8 k2 I6 V8 d' T4 q5 ~小白:东哥,那我们就拿灰鸽子一点办法都没有吗?
" t& t3 U5 K4 C5 X- d- v
8 i* n8 ?( F% x
% k; e. h2 A3 X* {) a大东:灰鸽子虽然强大,但它并不是完美无缺的。让我为你解析一下这个难缠的病毒。
1 F# @% X1 Z) ?9 y 4 K% R" ], g8 J8 @ m
二、灰鸽子病毒发展史+ f/ B7 c) M: R0 U2 y
8 n" `* q' N! r. i7 m
- p: @6 {+ x7 T/ Q! h* n
大东:先来说说灰鸽子病毒的发展史吧。6 q- I7 r! z4 m! _
F; E" S- q5 q6 m l0 }; Q; x; ?/ \0 i
; n" R' a4 c2 r. N# w) y4 r9 G小白:好呀,我最喜欢听历史了。
" e5 }, n; W2 ~, s0 _
) `. Q; O m- O- J; x3 o4 u6 U9 S0 o V& B0 t! c1 M
大东:灰鸽子病毒发展分三个时期:诞生期、模仿期、飞速发展期。2 p, q& j7 |5 ~/ S
6 m' V% d$ Z X2 S3 k |
6 w0 D/ L' J7 K; D# M小白:先说说诞生期吧。
7 v, ]: q; ^1 ~, G# \. _! J0 j. U" `6 i
# [5 Y: o a- f0 I; ^, W8 x. g( ~$ J
大东:诞生期自2001年,灰鸽子诞生之日起,就被反病毒专业人士判定为最具危险性的后门程序,并引发安全领域的高度关注。2004年、2005年、2006年,灰鸽子木马连续三年被国内各大杀毒厂商评选为年度十大病毒,灰鸽子也因此声名大噪,逐步成为媒体以及网民关注的焦点。
( N& O, F1 {$ E! A0 f+ U
% t* g, ^& N# R# l+ T2 G! D4 Z$ d' W
小白:最具危险性的后门程序,听上去很厉害嘛。
: _0 U6 z' Q5 R _* }
4 v* K4 [& {- }3 z& i, t: X. i+ v; W# L) b! X
大东:模仿时期,灰鸽子最早出现的时候是在模仿“冰河”。它采用Delphi编写,采用了源码共享的方式出现在互联网。虽然“灰鸽子”在当时的名气不及“冰河”,但由于开放源码的方式让“灰鸽子”逐渐增大了传播量。% p% e/ y! M1 m; D$ r
p* q: T& a4 t( _) k) t* ]' o9 k& f& B
小白:这么说来冰河是灰鸽子的“前辈”啦!那冰河也是远程控制软件吗?8 F& v, f- D2 Y# p1 ?
( y% t$ r; ?6 D8 ^3 Z, k2 t
$ N$ u! A( V8 v7 [4 y% e7 F1 `9 R( W大东:是的。冰河的可怕之处在于自动跟踪目标机屏幕变化,同时可以完全模拟键盘及鼠标输入、记录各种口令信息。还包括获取系统信息,例如计算机名、注册公司、当前用户等多项系统数据。远程关机、远程重启计算机、锁定鼠标及锁定注册表等多项功能限制也是他的拿手强项。; D4 Z( w" W, Q# H' R8 C" m
( E1 _0 Y7 K" J' I4 L& a+ I! ~! n3 O0 f4 K h# v" L2 W {
小白:说远了,该说灰鸽子病毒飞速发展时期了。, n) e6 I9 t& R+ b1 E m9 V
; o4 g$ z! O4 f, M* f5 p
( q" X; X9 i1 I6 b6 i2 u* y' L7 W ?大东:2004和2005这两年之间,灰鸽子逐步进入了成熟的状态,由于源码的释放,大量变种在互联网中衍生。2004年灰鸽子总共发现了1000多变种,而在2005年,这个数字迅速上升到了3000多。" r% r* M. k( |6 K; _
& S8 Z3 f" Y% L2 J
8 Y9 D1 @7 Z* o! E3 R+ V0 K/ X4 [小白:变种也太快了吧?!
1 G! @* _/ h+ G2 l l r" w
( L# k n: A. J0 i/ L+ @
& }! p9 D3 h% s% k0 X! P大东:“灰鸽子”最大的危害在于潜伏在用户系统中,由于其使用的“反弹端口”原理,一些在局域网(企业网)中的用户也受到了“灰鸽子”的侵害,使得受害用户数大大提高。2004年的感染统计为103483人,而到2005年数字攀升到890321人。“灰鸽子”本身所具备的键盘记录、屏幕捕捉、文件上传下载和运行、摄像头控制等功能,将使用户没任何隐私可言,更可怕的是服务端高度隐藏自己,使受害者无从得知感染此病毒。% z; U3 A j* d4 d) m
4 B% g3 ~" Y+ H6 o& f5 e
A5 R- u: D' A2 G/ I
小白:令人害怕!
/ f, t+ p1 Q) ~. u) C) Y' }# R- I 4 n2 N8 ]3 N0 ^. z- Y
三、灰鸽子病毒清除办法
; C/ r& b4 w7 h
( R: I; z+ u* ^
* N& U' ~2 |% {7 h4 q) w) \$ E大东: 但是利用一些检测方法就可以将灰鸽子揪出来。通过研究发现,无论自定义的服务器端文件名是什么,一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点,我们可以较为准确手工检测出灰鸽子服务端。
5 e. b% n+ i6 X. s
6 ~% @" {; E1 M- Z3 `) g& Q" S. F/ [0 a1 I/ }: M, S& i4 W7 \
小白:那是把“_hook.dll”结尾的文件删掉就可以吗?
2 B! n# H/ J: f0 c; o9 Z8 g
1 b+ a8 h* ?9 J+ N5 A C% q2 [
0 O# Y) `4 s0 S4 q* R! _2 b大东:当然不是那么简单。由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模式下进行,而且要把Windows设置成显示所有文件。并打开Windows的“搜索文件”,文件名称输入“_hook.dll”,搜索位置选择Windows的安装目录(默认98/xp为C:\windows,2k/NT为C:\Winnt)。经过搜索,在Windows目录(不包含子目录)下发现了一个名为Game_Hook.dll的文件。' G! W0 g& H. J* Z% \$ C: e" ^: a
& c3 ^- A% x+ y+ L$ h1 K3 t
0 L" g+ k7 H: k# x" K1 U) C小白:这就是灰鸽子文件了吧!
. b7 ~2 w) l' W+ o1 m5 u; b& W3 d, B' J* `1 m5 y! N0 i4 b' [
4 ?) F6 v: V8 {( O
大东:还不能确定。如果Game_Hook.DLL是灰鸽子的文件,则在操作系统安装目录下还会有Game.exe和Game.dll文件。这才是真正的灰鸽子的服务端,不能“冤枉”好人啊!
0 w2 u" r" {7 ~2 R6 u
# b! @4 k, G( j6 m
+ m' x) k8 H0 X" HGame.exe和Game.dll。图片来源于网络 ) U/ J8 H$ z6 n2 b- T
* p! |8 Y+ z( a8 s' A, x
6 `" L/ N& r2 s& `! A小白:原来是在这样。把这几个文件删除就可以和灰鸽子病毒say goodbye了吧!
* ^8 c2 z$ z7 A% k
( q" b/ q5 s) a& g9 J( C( h6 u& ^( y$ z. ^' h- N: ]
大东:总共有两步,这只是其中的一步。首先清除灰鸽子的服务,注意一定要在注册表里完成。清除灰鸽子的服务一定要先备份注册表,或者到纯DOS下将注册表文件更名,然后再去注册表删除灰鸽子的服务。因为病毒会和EXE文件进行关联。
; r/ j2 N4 I- B+ g$ p" O; @5 u; |# f ?1 f# j: Z3 ~
0 A- c y6 v. r! Y$ D1 o! F
小白:东哥,具体应该怎么做啊?教教我呗。
9 V! ~+ ?3 m8 n/ g7 v7 m
5 {7 b3 }( T3 W) ]! o! f1 @+ C+ V: r
大东:第一步打开注册表编辑器(点击“开始”- “运行”,输入“Regedit.exe”,确定。),打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。第二步点击菜单“编辑” “查找”—“查找目标”输入“game.exe”,点击确定,我们就可以找到灰鸽子的服务项(此例为Game_Server,每个人这个服务项名称是不同的)。第三步删除整个Game_Server项。
7 d5 H; U4 Y# `
# Y* q2 D& z! P4 m) ~+ |
* l) `2 s9 o$ N q, s2 |4 E+ V1 n查找game.exe。图片来源于网络
* u1 n. ]7 g9 O) P, f7 s! u# {: A1 ~9 }) p @' ~
小白:这其中的第二步是不是就是我刚才说的删除Game.exe和Game.dll。
: h/ I4 f: p v9 G: s4 l
' G# I0 d. W$ L0 x( C) f+ S1 z8 ]2 I t0 o" v9 L
大东:bingo!你只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件,然后重新启动计算机,就彻底告别灰鸽子病毒了。
: B' l5 G: |6 t3 R 7 `" R0 W, K1 M$ D9 v
四、防范措施4 m, f5 h) o) n, ?
% l3 c/ w+ ~* g" ]4 v
小白:东哥,那该如何防范灰鸽子这类病毒呢?$ @8 q9 j: s& r1 H L
# E: @( ?& w1 l0 |6 }" y# b! w5 v% n7 ?
6 E# F0 t+ K m6 W! x大东:有些办法虽然有些原始,但总是最好用的。比如说给系统安装补丁程序。通过Windows Update安装好系统补丁程序(关键更新、安全更新和Service pack)。! i" C; n( G \0 T6 e
) ]/ O' Q8 J. }( h6 i
5 H! H5 I9 D0 G- L/ D; T D( Y: J
小白:东哥,我们老说打补丁,补丁的专业解释是什么呀?我们为什么要定期打补丁呢?
8 G% ]/ E% Y% T7 p) I% @. U6 S0 O+ B0 u4 N% R( f; E: H
$ ]9 F4 E2 h0 e, N5 v+ c
大东:补丁就是操作系统的不定期错误漏洞修复程序。一般在开发过程中,一开始有很多因素是没有考虑到的,但是随着时间的推移,存在的漏洞问题会慢慢被发现。这时候,为了对系统本身存在的漏洞问题进行修复,系统开发者会发布相应的补丁。黑客如果利用这些漏洞,就可以得到计算机的控制权。7 S+ { F9 |7 S
2 V1 ]/ R, R) d4 q" {0 x6 M
5 `0 ]: J! P: ^0 _% J: y8 V$ v小白:东哥,还有类似的“原始”方法吗?
v, k: z; N5 }; r$ R
' O5 A6 |2 V1 x- e8 u# A. |
2 ~: ~6 W1 R! Q: P+ W4 K! q
v8 T& p% B$ Z% e) D+ v * O& ^* }! }+ |3 _0 o
大东:给系统管理员帐户设置足够复杂足够强壮的密码,最好能是10位以上,字母+数字+其它符号的组合;也可以禁用/删除一些不使用的帐户。如果记忆力够好,经常改变密码也是也是个不错的选择。/ H Q+ e$ e* P1 ]
4 o6 n6 r4 w$ _" t* _. b+ p. ^+ i" |
2 G2 c( S5 u8 B1 @/ H小白:对,比如说我就经常换密码。
8 |& W' ?- K2 _* t, q: @7 @7 N3 w" Z2 }7 @$ k
' f+ b. l& n3 n( x大东:哎,不过你也总是忘记密码。不过单纯地讲,换密码这个习惯还是不错的。0 Q( y) Z% m* A7 C4 k- P! W
) R4 Y( I, V1 E( z* y/ o& o2 }
" E0 _8 Z$ r8 {/ W& t小白:东哥,你总揭我老底,就不能给我留点面子嘛?6 }; A% c$ t% B5 D6 U6 q/ s. b
- V g5 N2 ~" Z
3 L% q. t$ {0 y# T( o& j1 e大东:(装作听不见的样子) 嗯,我们继续说防范的方法。经常更新杀毒软件(病毒库),安装并合理使用网络防火墙软件是十分必要的。网络防火墙在防病毒过程中起到至关重要的作用,能有效地阻挡自来网络的攻击和病毒的入侵。4 c: u. \- |/ c* Q) K3 D& R6 w/ D$ r8 m
7 l- R! U) Z+ Z# A% ], s$ a4 l
; G! S# Z2 g# G) B P/ H1 S5 Q/ h小白:东哥,还有吗?
# P7 D) d0 Q( n1 W4 s6 j
" L. ~2 j$ m) F
3 ^; i$ S7 {# `$ r1 B3 }$ d大东:关闭一些不需要的服务,条件允许的话可以关闭没有必要的共享,也包括C$、D$等管理共享。完全单机的用户可直接关闭Server服务。7 X4 Z2 C, ]3 n' |- v/ O5 P: m
3 K/ Q: {/ L1 ]4 q. M
! ^1 J# v1 r/ Z; t: O+ z小白:懂了。东哥,通过你刚才的讲解,我回忆起来了许多东西。0 N c- h9 k" R; U% Z
- Q) U* y3 Q+ d1 H7 M/ @
4 l+ s+ V( R* @+ ?3 P! e4 x大东:温故而知新嘛!
: r2 Z& O" a3 M$ k; M
1 h6 ^. p( |8 k" G
6 C# ` U( e) r# h3 t' A8 w' P2 n来源:中国科学院计算技术研究所* k ]& v9 }7 Y+ C
% R% n+ ^0 u7 ^% L; I ]
6 E6 _4 d6 ?4 e温馨提示:近期,微信公众号信息流改版。每个用户可以设置 常读订阅号,这些订阅号将以大卡片的形式展示。因此,如果不想错过“中科院之声”的文章,你一定要进行以下操作:进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」
* y4 L8 H" [: `3 w" k2 v$ J5 g$ }3 k( t* M! p
& c8 L3 z" S' b' e2 T" |" C$ | n) L- B- n' W/ |& f3 K
" ~* |1 b4 Z: D( z* E

8 a1 t8 J$ g/ M4 s7 L5 p3 c
: f6 l* y C- c, X来源:http://mp.weixin.qq.com/s?src=11×tamp=1574510402&ver=1992&signature=Tvxe-dv0Pli2WOy8jx6-Hw7rnv9HYpasycZdOiA27ix8cPjxnROs0K1kkvdUU-4qOv15U3svsKSNcI-QAj5BtJGG0rX5r4iFdLPgzGOu9EXoWlxVCaXxE1chtktOJjK2&new=1) n& [2 ]! T- y0 }
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?立即注册
×
|