|
|
一、灰鸽子病毒事件& S/ g, |0 k; T5 Q
+ O0 @; E5 `& k; Z- k7 `) s3 Z! v2 d
小白:东哥,我最近弄了个新鲜的东西,可以远程控制我家的家电,例如空调,电视,冰箱……; P" j ~. V# c( x
+ u9 `$ j8 a/ e/ m+ n: t& X) G6 v& {# M4 |6 Z
大东:嗯,这个不错!
# n0 m) L$ y+ [0 Q# d/ { 3 h) u- C( a+ k
! {/ e4 k4 Y ~# p手机远程控制空调。图片来源于网络 0 K8 R6 @4 B. ` [# f8 k
+ i4 |! ]. X) T$ {4 w5 q, a$ r% I2 J4 p# i3 G% ?. j% s* \2 E+ F
小白: 是啊,最便捷的是有手机、有WIFI就可以实现远程控制功能。0 H, W+ v4 z; V; M& [" Z
0 b! `7 w0 i1 d; R6 d
# i& \2 C0 h( Z- D% ]大东:等一下,便捷中往往隐藏着“邪恶”,你可要小心灰鸽子病毒啊!
/ _ u a+ W- ?+ _$ H5 m) ]
7 `* P. U0 P# u' R; I/ |) L' ~, L& c; B
小白:灰鸽子病毒?; D7 H, O9 W0 x) V* B7 m
' r) d% N" o) T' U* u4 a2 y5 E, n$ k
大东:是的。灰鸽子本身是一款远程控制软件,但是因为恶意使用,又被认为是一个集多种控制方法于一体的木马病毒,一旦用户电脑不幸感染,可以说用户的一举一动都在黑客的监控之下,要窃取账号、密码、照片、重要文件都轻而易举。
' g; T! ^! J7 n' O6 f' L1 g+ r& ~. j: O, h1 [6 G! E' A
, `: c% R. @, p+ y, y3 u A8 v
小白:我的天啊,那我的隐私岂不是完全暴露在大家的面前了?!1 O% y# M5 | V9 M
. T2 }) ^) B$ J8 N$ @! I3 L
2 U' I/ t y. S& q i大东:不仅如此,他们还可以连续捕获远程电脑屏幕,还能监控被控电脑上的摄像头,自动开机(不开显示器)并利用摄像头进行录像。
; y+ F6 H! \& y2 T
6 g( y" j$ \4 r3 g3 H
& V+ b; A6 x! K! Z# _小白:简直是太可怕了!假如我没洗头、没洗脸、穿着邋遢衣服的样子被拍了下来,上传到网上的话……
6 N0 U3 T2 L# g- A# V
& n4 Z4 \* V) E9 B( _2 A6 S( @5 I I0 D4 `1 z) W; f
7 o7 q1 Y$ t+ s) I% N
1 O. e7 D" N* |9 G大东:emmmmm……你这个颜值估计上传了也没人看。我们言归正传,继续说灰鸽子的事。随着“灰鸽子2007”的发布,当年仅3月1日至13日,金山毒霸截获的灰鸽子变种数就达到521个。盗号、偷窥、敲诈以及骇人听闻的公开“叫卖”,危害更甚于熊猫烧香。! g" [' Z3 Y) F! Q0 g* d
0 Q/ E% P9 k6 ^9 x0 {" ^
% m" Y- ?; c9 g& s5 f/ x小白:这群人简直太可恶了!
9 S$ I' ?; \; _' x. j
! u; s2 L c/ L4 } U2 @) a+ W1 Z4 Y
大东:而且灰鸽子已不再是一个单纯的病毒,其背后是一条制造病毒、贩卖病毒、病毒培训为一体的黑色产业链,从某种意义上讲,灰鸽子的危害超出熊猫烧香10倍! ' z: j7 f0 D* ~" |4 Y
. w4 I' k5 [. Z6 O7 v
, ]! B4 w. \6 d3 J$ B# a0 W2 f9 S
灰鸽子产业链示意图。图片来源于网络
6 f+ O# d- Y7 F; D: \6 [' E7 S7 J" ]: R1 M5 y) f3 H* |( C
小白:东哥,那我们就拿灰鸽子一点办法都没有吗?1 h( V% A: ]. i. O8 S
0 ^+ U- |& Z6 U$ @/ ^" j
% H. e# K' E( Z, H# ^大东:灰鸽子虽然强大,但它并不是完美无缺的。让我为你解析一下这个难缠的病毒。
' z( K# h P3 F! Q" M1 v7 C
' Q" ?+ G1 j6 q9 E二、灰鸽子病毒发展史- h, r5 p* }( k0 T. U/ ~
1 F' P9 K+ m4 b- Q0 m
" T. y% i3 u$ ^7 A5 [; k大东:先来说说灰鸽子病毒的发展史吧。
7 D/ w" M" u/ ~1 z+ k5 c, _, e
# ?- y: u. u" E$ [: B0 \1 ^/ u2 m9 T' i5 M; }
小白:好呀,我最喜欢听历史了。
l8 S1 h% f9 G& I# J5 y' S2 ]4 v7 h4 U' y" w. I: ~ ]2 E+ O; N& K
" r5 Q/ p/ ^. z9 J8 V5 \, D
大东:灰鸽子病毒发展分三个时期:诞生期、模仿期、飞速发展期。
0 [" Z3 Q6 M0 M$ `0 t5 j: Z; S! L0 \' c2 L
6 [" @( t' h0 i1 u小白:先说说诞生期吧。7 G7 ~* I* c/ h0 B
* R' \& H- {2 P% l, M% c1 P0 z2 s: {% M
大东:诞生期自2001年,灰鸽子诞生之日起,就被反病毒专业人士判定为最具危险性的后门程序,并引发安全领域的高度关注。2004年、2005年、2006年,灰鸽子木马连续三年被国内各大杀毒厂商评选为年度十大病毒,灰鸽子也因此声名大噪,逐步成为媒体以及网民关注的焦点。
) a: |) s/ P; u- g, A8 P4 G) t: D6 `* x( M; P6 h2 I1 H
* R5 c' s+ h' p2 }
小白:最具危险性的后门程序,听上去很厉害嘛。
, e: P' |) s" `/ w( D# _; r( `
' [) z3 A7 b& S4 J( E1 E1 `
H& N3 {/ K" ^+ m0 f大东:模仿时期,灰鸽子最早出现的时候是在模仿“冰河”。它采用Delphi编写,采用了源码共享的方式出现在互联网。虽然“灰鸽子”在当时的名气不及“冰河”,但由于开放源码的方式让“灰鸽子”逐渐增大了传播量。8 k0 L+ G# N0 o5 I
' W/ S! K6 S9 K( b& w
8 X3 N% {$ X& G7 M$ l2 }
小白:这么说来冰河是灰鸽子的“前辈”啦!那冰河也是远程控制软件吗?
; Y1 |* H. m/ ~, k( H$ N
# `# J+ L7 J0 r n) C9 s
8 j- R+ o- y! E" m8 g" g1 S大东:是的。冰河的可怕之处在于自动跟踪目标机屏幕变化,同时可以完全模拟键盘及鼠标输入、记录各种口令信息。还包括获取系统信息,例如计算机名、注册公司、当前用户等多项系统数据。远程关机、远程重启计算机、锁定鼠标及锁定注册表等多项功能限制也是他的拿手强项。3 h! ?1 {: D* b4 I3 R7 J
( C2 r/ ^+ {. Q+ _
4 ?4 X; s: h2 K小白:说远了,该说灰鸽子病毒飞速发展时期了。
7 a M/ W6 D1 l5 C& ^: J# g+ _$ m+ p& `/ Q/ F
4 i: Z& f5 s' A大东:2004和2005这两年之间,灰鸽子逐步进入了成熟的状态,由于源码的释放,大量变种在互联网中衍生。2004年灰鸽子总共发现了1000多变种,而在2005年,这个数字迅速上升到了3000多。
& k6 J+ E6 U, x) `1 f7 y) s0 x" N" s# z; h. k4 E2 e8 s
. L7 ~: h# F' X% q2 q9 w小白:变种也太快了吧?!2 K! @, ]! r5 S) ]" q1 D! U6 f$ I2 g9 m: ^
5 J' ]$ _( t: _
9 u0 `$ [2 k3 ]( ]# S
大东:“灰鸽子”最大的危害在于潜伏在用户系统中,由于其使用的“反弹端口”原理,一些在局域网(企业网)中的用户也受到了“灰鸽子”的侵害,使得受害用户数大大提高。2004年的感染统计为103483人,而到2005年数字攀升到890321人。“灰鸽子”本身所具备的键盘记录、屏幕捕捉、文件上传下载和运行、摄像头控制等功能,将使用户没任何隐私可言,更可怕的是服务端高度隐藏自己,使受害者无从得知感染此病毒。
, f7 N! L& r* ^" i6 S( g# Q2 j) F' k# G3 S k h# ^ }
5 s2 _, [: v, k6 g6 N7 Y; P3 ]
小白:令人害怕!
e; S! q8 B+ ]; V" W ! M+ I0 k4 K2 {; p! H+ |
三、灰鸽子病毒清除办法- e4 }" z# L' x O! N; X2 O% J' q
b! D9 Q$ }' Z
$ I- {/ @( S$ J, h" d, o$ n大东: 但是利用一些检测方法就可以将灰鸽子揪出来。通过研究发现,无论自定义的服务器端文件名是什么,一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点,我们可以较为准确手工检测出灰鸽子服务端。" m- u. O/ Y7 H$ _9 b5 M
9 B; @% X; u K+ D& v! s
! {0 c5 C k1 t( h+ p: w3 l
小白:那是把“_hook.dll”结尾的文件删掉就可以吗?1 g8 Q; Y7 T) R9 x, f A
" F* h6 m8 |$ H, q( {
) `% x/ r9 W$ W- ?6 z
大东:当然不是那么简单。由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模式下进行,而且要把Windows设置成显示所有文件。并打开Windows的“搜索文件”,文件名称输入“_hook.dll”,搜索位置选择Windows的安装目录(默认98/xp为C:\windows,2k/NT为C:\Winnt)。经过搜索,在Windows目录(不包含子目录)下发现了一个名为Game_Hook.dll的文件。
0 J0 D- ]( U1 J4 [" J5 h- V5 a9 ?* ^0 m3 U( r- C$ U
7 c7 w! V( y0 k* A' I
小白:这就是灰鸽子文件了吧!
7 i) u1 {) O( {7 I; {" C" K$ [" L; g- ^$ M$ ~
" Y' F8 k9 N- v5 d
大东:还不能确定。如果Game_Hook.DLL是灰鸽子的文件,则在操作系统安装目录下还会有Game.exe和Game.dll文件。这才是真正的灰鸽子的服务端,不能“冤枉”好人啊!9 W* T/ n; s* y
. s+ [- ?# [9 W
, @9 [- e! K. D8 K' V5 M; |
Game.exe和Game.dll。图片来源于网络 & N- K* b1 z; a! C0 T3 D5 b5 c5 q
1 D9 ]: R, x: S# L9 Y
, L2 }; w" Q$ y1 H! n5 i: s5 a
小白:原来是在这样。把这几个文件删除就可以和灰鸽子病毒say goodbye了吧! A X J; }! X6 F" u1 o+ I, }
1 `2 b3 v, ^" m4 }4 L( S; [. s6 n
/ S5 t; ~3 F: T( J- }大东:总共有两步,这只是其中的一步。首先清除灰鸽子的服务,注意一定要在注册表里完成。清除灰鸽子的服务一定要先备份注册表,或者到纯DOS下将注册表文件更名,然后再去注册表删除灰鸽子的服务。因为病毒会和EXE文件进行关联。
, Z, o. e2 f" d* g7 H
1 X5 u E+ d3 w r" l9 r% N( R5 M+ l3 y$ t: t9 |. M
小白:东哥,具体应该怎么做啊?教教我呗。
' X0 m+ R/ i+ a' ?
2 q( c) a$ s% w) ?% Y, J; K, A8 t
) K, O5 C% _- C8 M大东:第一步打开注册表编辑器(点击“开始”- “运行”,输入“Regedit.exe”,确定。),打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。第二步点击菜单“编辑” “查找”—“查找目标”输入“game.exe”,点击确定,我们就可以找到灰鸽子的服务项(此例为Game_Server,每个人这个服务项名称是不同的)。第三步删除整个Game_Server项。
' l# X. [1 K9 l* d- x1 I1 m/ p
9 t' K! O1 F! |8 O9 ?" p1 l2 l4 L" P2 e2 i
查找game.exe。图片来源于网络 ' c/ p; ~" P4 U/ K
1 F' M; p* J0 s8 R
小白:这其中的第二步是不是就是我刚才说的删除Game.exe和Game.dll。
1 N+ ~; l2 `! q7 v. _9 C4 f
. R. ^3 t- s3 w8 i! ]8 x9 u3 ], S0 z" c
大东:bingo!你只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件,然后重新启动计算机,就彻底告别灰鸽子病毒了。
: p9 y6 q) @9 C7 `; h
* {" l% p+ @7 ^$ [! s6 \四、防范措施
9 a) l+ T n' w$ C
7 [1 K" |4 ~4 T4 X8 T小白:东哥,那该如何防范灰鸽子这类病毒呢?; V* D( C9 o. l. G0 g" k
, f c5 k$ `7 N' ]
8 r0 V: T8 R2 z; Q& H+ G6 l
大东:有些办法虽然有些原始,但总是最好用的。比如说给系统安装补丁程序。通过Windows Update安装好系统补丁程序(关键更新、安全更新和Service pack)。
' D7 G* u, A; m. L+ m& p8 m2 [/ C" D7 a
0 Z9 |& f+ Z* t2 T
小白:东哥,我们老说打补丁,补丁的专业解释是什么呀?我们为什么要定期打补丁呢?
4 P4 G3 |8 r, [% j
6 {5 ?0 h8 C/ m
* s" P7 a5 n& m8 M, a大东:补丁就是操作系统的不定期错误漏洞修复程序。一般在开发过程中,一开始有很多因素是没有考虑到的,但是随着时间的推移,存在的漏洞问题会慢慢被发现。这时候,为了对系统本身存在的漏洞问题进行修复,系统开发者会发布相应的补丁。黑客如果利用这些漏洞,就可以得到计算机的控制权。
+ r1 b% m, i( b- L) i H
1 W7 c4 }7 Y. A# `/ Z3 M1 r3 R5 o3 S ` e! J2 d) c/ Q- U; z
小白:东哥,还有类似的“原始”方法吗?1 h: v+ S7 M0 ]! o3 |" L) n
; Z3 M1 j- M! l8 o3 b& x
4 y1 |0 D6 f- C" q: a% N
3 B: [' u5 U3 _# y9 y6 Y
. g' t9 Z1 }1 ]4 |# S& e% I
大东:给系统管理员帐户设置足够复杂足够强壮的密码,最好能是10位以上,字母+数字+其它符号的组合;也可以禁用/删除一些不使用的帐户。如果记忆力够好,经常改变密码也是也是个不错的选择。
* K# o, U# j9 K9 S9 E) N" X, @% k/ h. b9 _0 @
. a. x" d! y ?. r# q2 G+ ^' ^, u小白:对,比如说我就经常换密码。
8 f" w1 j5 C3 R9 k% r1 `& L) i$ _6 y8 J! e% c, Q
6 ~- ^7 A+ \; ^* R4 c
大东:哎,不过你也总是忘记密码。不过单纯地讲,换密码这个习惯还是不错的。
6 Q/ r- l; \0 P* S1 C, e* y% M4 N5 g) g5 B3 Z
) `# U6 h, F# P+ ]6 p小白:东哥,你总揭我老底,就不能给我留点面子嘛?# s& ~$ f! Y/ u% \& K8 Y
# g# G5 K- w4 N% s
, z7 ~6 w3 I! h& \ P- `大东:(装作听不见的样子) 嗯,我们继续说防范的方法。经常更新杀毒软件(病毒库),安装并合理使用网络防火墙软件是十分必要的。网络防火墙在防病毒过程中起到至关重要的作用,能有效地阻挡自来网络的攻击和病毒的入侵。
5 K" X- Q' U* s9 P' w! M. Y- j) t" T8 C
, P- {* x+ f& k" ?9 b' V% C
小白:东哥,还有吗?+ I8 Z8 L1 ]; t3 i* M
" P" M7 d3 i' F/ j/ d% D b
7 ]: D2 s J& q0 ^8 n9 m大东:关闭一些不需要的服务,条件允许的话可以关闭没有必要的共享,也包括C$、D$等管理共享。完全单机的用户可直接关闭Server服务。
& k* }. l+ k6 |- X3 j
7 h4 c6 [3 Z& G: }4 u, K4 U. n! z: a! v/ S8 w: _+ K
小白:懂了。东哥,通过你刚才的讲解,我回忆起来了许多东西。
% x1 `# f/ f& W
4 ?* h- g( c# j% g7 x9 `' d- c# h( Q6 H4 Q/ I' ~) u# U
大东:温故而知新嘛!
3 l7 S5 [7 G4 W4 L7 _" `4 V7 w; B/ I! d1 k/ w+ Q3 P
: I" }0 t+ w+ a9 ~ D来源:中国科学院计算技术研究所1 \& I! m* K7 ]9 M* R; j/ S; x
$ b3 B2 @/ v+ o0 P
" r, [ t* w! Z
温馨提示:近期,微信公众号信息流改版。每个用户可以设置 常读订阅号,这些订阅号将以大卡片的形式展示。因此,如果不想错过“中科院之声”的文章,你一定要进行以下操作:进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」- ?& G/ @' R! i- R8 L) `6 ~1 N F
* S- ^% c) y4 D, I! [0 q3 l ~( g0 X' n; R1 g/ O. s! J
- z) ^1 H2 |( Y' L& _6 L3 b# U/ g! G( n$ M( y, b, }1 Q7 Y
 : ?( V3 r3 a- \* d& w
& L4 S. X9 _ b8 U8 y& n# U/ N来源:http://mp.weixin.qq.com/s?src=11×tamp=1574510402&ver=1992&signature=Tvxe-dv0Pli2WOy8jx6-Hw7rnv9HYpasycZdOiA27ix8cPjxnROs0K1kkvdUU-4qOv15U3svsKSNcI-QAj5BtJGG0rX5r4iFdLPgzGOu9EXoWlxVCaXxE1chtktOJjK2&new=1& z* O( S _! F
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?立即注册
×
|
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-11-23 20:40:29
