一、灰鸽子病毒事件
# c. @' {' b6 b; b! y6 D+ i0 z. y) I* T) s/ l+ ^* C
T3 ~8 r- m. }% L小白:东哥,我最近弄了个新鲜的东西,可以远程控制我家的家电,例如空调,电视,冰箱……' l" J$ B# B7 ^4 w: W2 n
) o+ }/ B. F! m) A' R5 N: a5 m: }) T5 p j, G& T5 R
大东:嗯,这个不错!. D& z9 T4 F" T5 B& B/ V/ }+ B
; G" u' w4 q3 l& h; j9 D8 J
b, i( T0 e0 s: b$ n手机远程控制空调。图片来源于网络
+ F; Z* K' L6 W
* V% T; M2 T# z9 [. @7 `! \" ]6 O- a0 _
小白: 是啊,最便捷的是有手机、有WIFI就可以实现远程控制功能。& x1 J" i$ [6 X: b. w) k2 x7 ^
; t+ R( q+ j; A2 y% [ B8 v9 S8 n: R- C
大东:等一下,便捷中往往隐藏着“邪恶”,你可要小心灰鸽子病毒啊!- r6 i+ Q9 s; j( C' D
! z" H! r3 U& H$ k+ C; Q) ]
; E- B6 I0 e- x小白:灰鸽子病毒?
* F+ @0 _, l2 q( G. c" j' U+ E% s+ B
% D, D) H- i/ A+ {) l$ L大东:是的。灰鸽子本身是一款远程控制软件,但是因为恶意使用,又被认为是一个集多种控制方法于一体的木马病毒,一旦用户电脑不幸感染,可以说用户的一举一动都在黑客的监控之下,要窃取账号、密码、照片、重要文件都轻而易举。
- I6 Z; {0 M' j8 ?- y _% X2 d+ X( y; t! ]6 b: q& ?
/ }7 X8 Q; M5 \ h# y小白:我的天啊,那我的隐私岂不是完全暴露在大家的面前了?!) u2 c0 m0 `; b E# ^/ E- Y
0 n L0 \7 Q6 k0 b+ A# E# m& [; E7 f4 O, z
大东:不仅如此,他们还可以连续捕获远程电脑屏幕,还能监控被控电脑上的摄像头,自动开机(不开显示器)并利用摄像头进行录像。4 M' V3 }0 I4 c; M
# `: r2 ^9 L; _' T6 Z. k4 G# r/ ]( z* M
小白:简直是太可怕了!假如我没洗头、没洗脸、穿着邋遢衣服的样子被拍了下来,上传到网上的话……
/ S5 g/ C6 ~6 i% \
) o/ D& j J/ j s% V9 i) ^: z% H3 ^+ C# |1 ]
3 s. \: z! R. O
, W* k; A' R) H
大东:emmmmm……你这个颜值估计上传了也没人看。我们言归正传,继续说灰鸽子的事。随着“灰鸽子2007”的发布,当年仅3月1日至13日,金山毒霸截获的灰鸽子变种数就达到521个。盗号、偷窥、敲诈以及骇人听闻的公开“叫卖”,危害更甚于熊猫烧香。9 \$ s' ~/ x% A
+ w, b" p1 |7 t% [4 [! g
: Q5 l3 X) l- k/ ]小白:这群人简直太可恶了!4 n! C: c- w( c- W" Z& [1 i p
: M# T; ?7 H" m4 }8 G
1 T/ {- F/ T0 ~$ I! g
大东:而且灰鸽子已不再是一个单纯的病毒,其背后是一条制造病毒、贩卖病毒、病毒培训为一体的黑色产业链,从某种意义上讲,灰鸽子的危害超出熊猫烧香10倍! 0 V0 Z+ ?% ~" \. h9 ^3 g
+ c: w( F0 C6 [ m8 R* ?9 }, ?/ ], A6 p5 B$ e- f$ x
灰鸽子产业链示意图。图片来源于网络 . V t# G+ a( s6 @/ s- G
% N s% R. _) M3 t7 V4 E- ^" \小白:东哥,那我们就拿灰鸽子一点办法都没有吗?
+ N4 {( e2 g7 E, V" L& u }- g& Z% z& q" e
8 G$ Z) ]0 M+ H2 S
大东:灰鸽子虽然强大,但它并不是完美无缺的。让我为你解析一下这个难缠的病毒。
) Q5 M* p! H) M
9 @2 N- o5 f8 U/ G& v* p6 `二、灰鸽子病毒发展史; L: _. K+ f Y5 t
" S' B) i3 c E5 w, ?& @- O# R
1 S+ R# M# u' s D' M9 c/ n5 a大东:先来说说灰鸽子病毒的发展史吧。! W- O. n) V0 f0 Z r7 ?7 q
/ n: T# f, Z9 W
* f* o+ G5 X6 W" U" F e小白:好呀,我最喜欢听历史了。, ?3 ^: I" h3 [8 {% v i
( F6 Z0 Y. k7 `1 ~
; H) k3 E6 {0 n* ^+ u" N8 F3 h, A: s大东:灰鸽子病毒发展分三个时期:诞生期、模仿期、飞速发展期。1 f2 C; X) `7 j
8 S0 m/ t' q$ z" O/ V
# |# k, \) M3 j1 T5 X小白:先说说诞生期吧。
$ g3 a# O& Z) |; V. w7 R+ @7 |% k" X/ c) r* d& a, ~0 m( _7 q9 m
/ u% ~; u$ `/ o7 m大东:诞生期自2001年,灰鸽子诞生之日起,就被反病毒专业人士判定为最具危险性的后门程序,并引发安全领域的高度关注。2004年、2005年、2006年,灰鸽子木马连续三年被国内各大杀毒厂商评选为年度十大病毒,灰鸽子也因此声名大噪,逐步成为媒体以及网民关注的焦点。3 C; u! b3 A I! S
" k3 p: i! f0 ]! D+ `1 ~3 K
6 e: }( F, M0 m% a, X. u小白:最具危险性的后门程序,听上去很厉害嘛。. y: [$ s) S- P' f( D
e# C7 O* W T3 G7 ]. K+ l: H
4 I' H2 r' [6 _+ y* { A大东:模仿时期,灰鸽子最早出现的时候是在模仿“冰河”。它采用Delphi编写,采用了源码共享的方式出现在互联网。虽然“灰鸽子”在当时的名气不及“冰河”,但由于开放源码的方式让“灰鸽子”逐渐增大了传播量。" a/ w9 y) ?) H- V8 m
9 n% P2 Q2 n5 ?- z6 T) B9 G2 \( Z
H$ ^7 K0 ]7 V& Y h& V) a# d A
小白:这么说来冰河是灰鸽子的“前辈”啦!那冰河也是远程控制软件吗?: ?- W% P' |9 D7 S S* P: }
7 \) e k' T' ?
$ n5 d1 [3 G: Q7 j/ f) S大东:是的。冰河的可怕之处在于自动跟踪目标机屏幕变化,同时可以完全模拟键盘及鼠标输入、记录各种口令信息。还包括获取系统信息,例如计算机名、注册公司、当前用户等多项系统数据。远程关机、远程重启计算机、锁定鼠标及锁定注册表等多项功能限制也是他的拿手强项。- L; ~9 I/ ?! x0 K7 L i* p
2 q& ^0 e8 @$ l$ P; p: _
0 D& k. L2 A" M
小白:说远了,该说灰鸽子病毒飞速发展时期了。
/ P0 s! g4 g* `0 L# e$ _' Y+ i. Z; V, c: E# e
K( v2 n+ I! V大东:2004和2005这两年之间,灰鸽子逐步进入了成熟的状态,由于源码的释放,大量变种在互联网中衍生。2004年灰鸽子总共发现了1000多变种,而在2005年,这个数字迅速上升到了3000多。' A+ o b. v2 ~* L" [' B7 Q
9 y+ ^0 w* O( e& A
. f1 `6 W: L) {! r. `( k# T% ^
小白:变种也太快了吧?!
% o$ S' L8 I$ k2 m" e' K9 ~
/ F; C( [9 `# H6 [ U& T& J0 i7 e. y. {1 G, }+ }
大东:“灰鸽子”最大的危害在于潜伏在用户系统中,由于其使用的“反弹端口”原理,一些在局域网(企业网)中的用户也受到了“灰鸽子”的侵害,使得受害用户数大大提高。2004年的感染统计为103483人,而到2005年数字攀升到890321人。“灰鸽子”本身所具备的键盘记录、屏幕捕捉、文件上传下载和运行、摄像头控制等功能,将使用户没任何隐私可言,更可怕的是服务端高度隐藏自己,使受害者无从得知感染此病毒。- @: g" F8 r$ p1 w
A$ s3 @8 {4 c3 V7 }/ f( K1 Q
: n e% Z% [" t1 U" f* I9 I1 c小白:令人害怕!
3 F; D2 x- q* w; T
. G+ M* R6 G4 m* A: T$ N三、灰鸽子病毒清除办法
9 G% `: F+ K7 `" K- U* F
0 t8 j8 o! ]/ A, m2 q; ~& N2 r6 I' d+ H$ u- d( T* t
大东: 但是利用一些检测方法就可以将灰鸽子揪出来。通过研究发现,无论自定义的服务器端文件名是什么,一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点,我们可以较为准确手工检测出灰鸽子服务端。
% Q# Q# V* x" L' O J
" J. E4 h1 i1 I5 H @+ V9 Y. z% c2 p( T- N
小白:那是把“_hook.dll”结尾的文件删掉就可以吗?
: c' W6 K7 F3 |( S) \ C" ~0 F5 b( ?) X4 t1 L& ^2 Y% Z
+ ^5 b2 Z9 X* @% X+ [6 u
大东:当然不是那么简单。由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模式下进行,而且要把Windows设置成显示所有文件。并打开Windows的“搜索文件”,文件名称输入“_hook.dll”,搜索位置选择Windows的安装目录(默认98/xp为C:\windows,2k/NT为C:\Winnt)。经过搜索,在Windows目录(不包含子目录)下发现了一个名为Game_Hook.dll的文件。
' k' j, [" z8 d& Z9 b" |/ O/ z; d, Y# t9 c$ E' S: Z6 r( ?- l
" g) ?! l# q& j5 X小白:这就是灰鸽子文件了吧!/ w6 Y* M9 N# D8 f0 F; w: N
" K g( c( \; Z& O. i( T7 a& c L# c3 N. p( E0 Y- }) S
大东:还不能确定。如果Game_Hook.DLL是灰鸽子的文件,则在操作系统安装目录下还会有Game.exe和Game.dll文件。这才是真正的灰鸽子的服务端,不能“冤枉”好人啊!! {" i4 V. I! T! }* H4 ~
_5 v2 Q4 Y+ T1 _ [& j6 H6 R
# b+ p1 T7 ^3 n5 z* b: gGame.exe和Game.dll。图片来源于网络 5 N8 u) {; H$ w I$ w! n
( b# z5 _( |* n' a8 E! @ _* z( G0 p- q# d o
小白:原来是在这样。把这几个文件删除就可以和灰鸽子病毒say goodbye了吧!
2 f+ b5 i8 \5 M! x3 H/ [; D
2 e$ _, c; m/ W5 l. Q8 p* Z/ F+ s7 l% O9 l' ~, n
大东:总共有两步,这只是其中的一步。首先清除灰鸽子的服务,注意一定要在注册表里完成。清除灰鸽子的服务一定要先备份注册表,或者到纯DOS下将注册表文件更名,然后再去注册表删除灰鸽子的服务。因为病毒会和EXE文件进行关联。 u, i. J! Z7 g) e8 O5 T
5 x8 Y: t6 A* V
, x: e9 I, P; K" I+ d; s
小白:东哥,具体应该怎么做啊?教教我呗。
/ Q% i7 M6 ^! t" x- k
# P0 M. ?: K3 @$ W4 r3 T2 ]5 G: ]) e! t2 d
大东:第一步打开注册表编辑器(点击“开始”- “运行”,输入“Regedit.exe”,确定。),打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。第二步点击菜单“编辑” “查找”—“查找目标”输入“game.exe”,点击确定,我们就可以找到灰鸽子的服务项(此例为Game_Server,每个人这个服务项名称是不同的)。第三步删除整个Game_Server项。+ {; ]$ C { O2 N6 ` m
8 P1 N/ S; F# u" ?8 {7 {
& O8 ?8 Z: n# A6 }0 b. Z" C查找game.exe。图片来源于网络 ) |; q* j6 b4 f* h
3 F1 m5 _9 d# I3 r$ O7 Q小白:这其中的第二步是不是就是我刚才说的删除Game.exe和Game.dll。
2 }6 `2 X( w d$ j/ o: m
. f, ~8 Z# ^: t! ~% h, d7 f$ A' N1 X- O* b
大东:bingo!你只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件,然后重新启动计算机,就彻底告别灰鸽子病毒了。
5 { z0 W. G& E b0 R+ K: V, u) C1 \( k1 n' y5 V* M
四、防范措施
, A' ^: Z Z7 l/ g; \; ^9 u2 ~+ V
' `2 F" I) |* s& z# [: ?小白:东哥,那该如何防范灰鸽子这类病毒呢?
0 K- x9 Z; Z' {* M) i- _' k! s, ~0 Z
5 U4 q( ]$ W, a$ D2 @4 D6 L; X, G# K
大东:有些办法虽然有些原始,但总是最好用的。比如说给系统安装补丁程序。通过Windows Update安装好系统补丁程序(关键更新、安全更新和Service pack)。
2 m" d$ ?0 m" W" [1 [4 S9 J y4 E7 q9 Z, C5 m+ W; g; H
: h7 g; S) S& @# ?2 a( P; P小白:东哥,我们老说打补丁,补丁的专业解释是什么呀?我们为什么要定期打补丁呢?! l0 J0 K' O1 v0 R1 b6 i! R
+ U: v+ T; s; O% c. ~5 Y
4 F$ y7 Z1 C: Q+ P大东:补丁就是操作系统的不定期错误漏洞修复程序。一般在开发过程中,一开始有很多因素是没有考虑到的,但是随着时间的推移,存在的漏洞问题会慢慢被发现。这时候,为了对系统本身存在的漏洞问题进行修复,系统开发者会发布相应的补丁。黑客如果利用这些漏洞,就可以得到计算机的控制权。' y$ o5 j8 l' Z: s! l- }, e
7 i2 m D7 H e9 f: K6 L: m& C6 P7 f
小白:东哥,还有类似的“原始”方法吗?
3 o$ T3 [+ E" y9 n6 Z
/ B/ F% [" D8 A5 @8 e4 d7 l0 S
! U3 h, m$ g2 ]% |& V4 S
2 d3 p! S* S9 |, U' V+ P3 P2 f9 Z! z
4 s, b w# u$ u; `
大东:给系统管理员帐户设置足够复杂足够强壮的密码,最好能是10位以上,字母+数字+其它符号的组合;也可以禁用/删除一些不使用的帐户。如果记忆力够好,经常改变密码也是也是个不错的选择。
4 \) @: ^* ?/ H) L+ u3 X9 s
4 K+ \( k6 _) b/ d% H# t) o9 s. t' s0 n( c$ i( V. g" c: a
小白:对,比如说我就经常换密码。
4 N5 i' I( a' _' _
5 R( p( p2 l/ E2 {3 k) x' u; K6 @
* \! z7 I/ v: u) a, O! e大东:哎,不过你也总是忘记密码。不过单纯地讲,换密码这个习惯还是不错的。, ?' S# R: J( |" P
" A9 [/ Q& w9 T0 Q0 _0 @- l& p: V$ X) Y( i7 t
小白:东哥,你总揭我老底,就不能给我留点面子嘛?2 ~6 e4 U* _3 q; N, |# W
& F; ^# z( G h( R
W, K' p8 r5 m+ @0 M5 D大东:(装作听不见的样子) 嗯,我们继续说防范的方法。经常更新杀毒软件(病毒库),安装并合理使用网络防火墙软件是十分必要的。网络防火墙在防病毒过程中起到至关重要的作用,能有效地阻挡自来网络的攻击和病毒的入侵。
4 j W4 R5 c3 _5 \1 u H
$ y7 x$ S, B S0 p# f2 l) H4 x3 E% B
小白:东哥,还有吗?3 G7 o/ m! \5 Z+ j: v- R5 O$ L
" R, M; e5 t* H
5 E g3 }2 \5 f7 p: T0 W; C8 c) s
大东:关闭一些不需要的服务,条件允许的话可以关闭没有必要的共享,也包括C$、D$等管理共享。完全单机的用户可直接关闭Server服务。
4 L- a1 _6 X/ f9 H7 m, F+ w3 u- K- |0 T+ v
! z: N z1 G- D' c( R: y* n9 f小白:懂了。东哥,通过你刚才的讲解,我回忆起来了许多东西。9 Y L& P. H+ V9 U
* B: W* z7 I/ S. x: d
8 T* L( L( P, u' K3 l大东:温故而知新嘛!
4 |; O1 M, S+ W) w' r6 A4 t8 d# _5 T& |2 E+ k! y. b. c2 H- E
6 o+ w5 F" u/ \7 m% l. `
来源:中国科学院计算技术研究所
6 b# o% l8 b4 t- }) W& |$ q9 @) }
8 s* y e' S ~$ A y/ Z
- i' P* R! Q+ D b7 Y% w; G T温馨提示:近期,微信公众号信息流改版。每个用户可以设置 常读订阅号,这些订阅号将以大卡片的形式展示。因此,如果不想错过“中科院之声”的文章,你一定要进行以下操作:进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」
+ k5 K B3 r0 X8 K' y# f8 u
0 q" G3 r9 w2 F* m6 Q
$ u) u4 @9 @; y, a1 E4 T9 @7 _# ~3 e3 Q, `- r$ H
, e @5 q8 b8 C5 O& I' b
 " {5 a; [9 Y1 y2 K: A+ I0 d9 b
/ C7 j1 L& T( m' W$ B% p3 H
来源:http://mp.weixin.qq.com/s?src=11×tamp=1574510402&ver=1992&signature=Tvxe-dv0Pli2WOy8jx6-Hw7rnv9HYpasycZdOiA27ix8cPjxnROs0K1kkvdUU-4qOv15U3svsKSNcI-QAj5BtJGG0rX5r4iFdLPgzGOu9EXoWlxVCaXxE1chtktOJjK2&new=1. S% A' z4 V& F: x
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-11-23 20:40:29
