|
|
一、灰鸽子病毒事件
& Q9 |1 s2 T6 x1 I
; n0 b" D* v, Q/ j5 |2 h( c! k! Q' ^* m. H! m. S; E2 m1 Y
小白:东哥,我最近弄了个新鲜的东西,可以远程控制我家的家电,例如空调,电视,冰箱……
- i3 f( Q; h$ \
& V/ F0 d" }, _( _9 Z0 \$ N; S6 k' d2 c
大东:嗯,这个不错!
5 |9 }# F7 y; g5 m# l% A4 t9 {
' A! t0 @, Z+ v* A3 a& C3 k+ p2 C1 H" `5 F8 v5 A
手机远程控制空调。图片来源于网络
+ }) T K- p+ {% h1 c I+ v' T, O' u& M u3 {7 E$ B
/ y* w" f! n4 o1 A小白: 是啊,最便捷的是有手机、有WIFI就可以实现远程控制功能。
( h. ?( i, J3 S+ I7 G' c
# U! E& w4 Q! n8 u* p9 K5 U2 ?2 c* \1 _
大东:等一下,便捷中往往隐藏着“邪恶”,你可要小心灰鸽子病毒啊!: ]& a3 p+ G x" a8 [" ]7 K4 X
2 J: D& f+ Z% F1 Z1 Z
+ C$ j. y2 A* K" T5 q" C& o, F. U小白:灰鸽子病毒?8 u- P+ y% Y( V" B. I) [, J
" S: S: d. ]- F) w( p1 w8 v; z; z y9 d" L
大东:是的。灰鸽子本身是一款远程控制软件,但是因为恶意使用,又被认为是一个集多种控制方法于一体的木马病毒,一旦用户电脑不幸感染,可以说用户的一举一动都在黑客的监控之下,要窃取账号、密码、照片、重要文件都轻而易举。3 s- K' H' M* y* M, p7 e
! H, O9 L7 U5 r2 g3 |+ G$ s2 K/ p: v) z
小白:我的天啊,那我的隐私岂不是完全暴露在大家的面前了?!
& `$ g1 H: U& P6 c, {% y2 B; t$ y
' _, W8 b0 `) c. M( V: T/ Z+ N& b+ S9 r7 N1 q$ p# s* \. ~; J
大东:不仅如此,他们还可以连续捕获远程电脑屏幕,还能监控被控电脑上的摄像头,自动开机(不开显示器)并利用摄像头进行录像。" q6 B" J6 {7 U% K
: y3 J& B$ I' w& c" o
Y/ t4 G% W. J& @; \- \6 j \小白:简直是太可怕了!假如我没洗头、没洗脸、穿着邋遢衣服的样子被拍了下来,上传到网上的话……
' ?/ c) r# O# x l7 F( Y# i) W3 g- i8 `
7 x, ]; _7 j# P0 g. U( C/ h
6 C- B; r! M' L( t8 L& B9 |5 F7 z6 A6 Q( M: _; m' O7 m. R2 U* W
大东:emmmmm……你这个颜值估计上传了也没人看。我们言归正传,继续说灰鸽子的事。随着“灰鸽子2007”的发布,当年仅3月1日至13日,金山毒霸截获的灰鸽子变种数就达到521个。盗号、偷窥、敲诈以及骇人听闻的公开“叫卖”,危害更甚于熊猫烧香。
0 U2 P$ G8 w$ z2 Q {: _% \2 d& F. _" {4 s& a; i0 I
7 y! u4 Q8 u/ B0 W6 l0 ^5 D" b
小白:这群人简直太可恶了!# B! T- Z0 d/ _( H; m5 E9 \
& ~5 r$ J0 o1 Q) p% V
' L9 W6 k% {2 Q. T; B
大东:而且灰鸽子已不再是一个单纯的病毒,其背后是一条制造病毒、贩卖病毒、病毒培训为一体的黑色产业链,从某种意义上讲,灰鸽子的危害超出熊猫烧香10倍!
+ l7 q9 o6 q' j' O% @3 P1 `0 K
7 T; C! \6 [( L% {6 N' h
+ i( W7 D9 y" ]& C/ g灰鸽子产业链示意图。图片来源于网络 & G. n3 @) k; Y) ^
4 j. I/ `4 u7 S8 w' i. Y& `$ k
小白:东哥,那我们就拿灰鸽子一点办法都没有吗?" p2 W6 \8 U& F
5 h7 I! \; L, }
$ }# {" c. m9 Z- O大东:灰鸽子虽然强大,但它并不是完美无缺的。让我为你解析一下这个难缠的病毒。3 c( h5 @2 i/ a- H0 h
0 d, n) ]2 V: A1 v, w, c二、灰鸽子病毒发展史
6 v8 s8 ^! i# D5 }% n5 a7 s; o7 L* G6 z& V1 y( P5 C; E7 a! S
, i+ r, ?$ s `
大东:先来说说灰鸽子病毒的发展史吧。
9 p- H+ ?/ u+ M, u; g" j0 ^; n
( g+ A& q0 v$ ~8 v
+ l: {7 c8 s. {' v/ x. T+ o# F, E小白:好呀,我最喜欢听历史了。0 f' W8 {$ p" P$ }
$ r0 J( M3 \! m' q! N7 j; g5 k4 z! S& x. q
" e* o0 n, Y0 R大东:灰鸽子病毒发展分三个时期:诞生期、模仿期、飞速发展期。
4 @, U* y9 b- E7 f
# F; |. o6 X4 ]2 F1 t. E8 F& l7 \' f# _5 ~3 T
小白:先说说诞生期吧。$ X& I _: d M {6 b2 b) c6 F
7 A T) D: w g; ^2 ?
+ v, |; f' }3 a6 Q大东:诞生期自2001年,灰鸽子诞生之日起,就被反病毒专业人士判定为最具危险性的后门程序,并引发安全领域的高度关注。2004年、2005年、2006年,灰鸽子木马连续三年被国内各大杀毒厂商评选为年度十大病毒,灰鸽子也因此声名大噪,逐步成为媒体以及网民关注的焦点。
% C x3 ?# I/ p* D8 A0 E8 s, u1 h
2 p/ T0 d, _+ H0 {- y2 m# m' L8 ^+ y6 c
小白:最具危险性的后门程序,听上去很厉害嘛。8 C% q( k% X( }$ c
/ j# R' s' N7 _8 C1 T% _1 f% s2 \
大东:模仿时期,灰鸽子最早出现的时候是在模仿“冰河”。它采用Delphi编写,采用了源码共享的方式出现在互联网。虽然“灰鸽子”在当时的名气不及“冰河”,但由于开放源码的方式让“灰鸽子”逐渐增大了传播量。7 ~' m" q4 V# m+ h5 {: S/ T$ Y# N
+ o* R" l2 X3 u7 @ J$ q: }2 @
) O4 [' b* N5 D. D" A) v9 w$ I/ ]# H+ J小白:这么说来冰河是灰鸽子的“前辈”啦!那冰河也是远程控制软件吗?
5 p- _& v9 d& g
+ a; j4 |+ X0 @5 a" m& Z) Y6 l
4 q# a1 N( G8 _7 t大东:是的。冰河的可怕之处在于自动跟踪目标机屏幕变化,同时可以完全模拟键盘及鼠标输入、记录各种口令信息。还包括获取系统信息,例如计算机名、注册公司、当前用户等多项系统数据。远程关机、远程重启计算机、锁定鼠标及锁定注册表等多项功能限制也是他的拿手强项。
* ~# r: g$ L+ T- Q3 \) N5 W$ v
/ Z! o$ J, q6 I7 R2 i6 H( S: O. U4 U s5 ^3 i* X) n
小白:说远了,该说灰鸽子病毒飞速发展时期了。
4 p. y( m: w, A W7 y7 v0 \9 M U8 |! u4 t j* S
2 i6 z5 d5 N2 T" v' D
大东:2004和2005这两年之间,灰鸽子逐步进入了成熟的状态,由于源码的释放,大量变种在互联网中衍生。2004年灰鸽子总共发现了1000多变种,而在2005年,这个数字迅速上升到了3000多。
; s& t/ O- N% z7 _
+ K! Q/ l: s4 _! _' b
+ j/ K7 x/ U7 ?7 W+ M% M小白:变种也太快了吧?!/ ^) ~ W5 N3 u; E
# K. G+ a* A1 z, k+ G. l
- y/ f: V" b U* B) X2 i
大东:“灰鸽子”最大的危害在于潜伏在用户系统中,由于其使用的“反弹端口”原理,一些在局域网(企业网)中的用户也受到了“灰鸽子”的侵害,使得受害用户数大大提高。2004年的感染统计为103483人,而到2005年数字攀升到890321人。“灰鸽子”本身所具备的键盘记录、屏幕捕捉、文件上传下载和运行、摄像头控制等功能,将使用户没任何隐私可言,更可怕的是服务端高度隐藏自己,使受害者无从得知感染此病毒。5 T5 [5 f3 @" f# l' B0 @" ~. v
! W- N; {! f/ W" @8 A
G) N: B7 G1 q/ |# R小白:令人害怕!
0 d* ?% p& `. v8 L6 x5 _2 \0 x7 t + W3 z. T& t \ v* O' s* [$ @
三、灰鸽子病毒清除办法
! w* ]! _; R; R' t$ G, K2 w/ ~ c, J$ a( @0 e/ P( T4 X3 K/ Q A$ e
* G, [/ C# G$ x2 R! [& H. i大东: 但是利用一些检测方法就可以将灰鸽子揪出来。通过研究发现,无论自定义的服务器端文件名是什么,一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点,我们可以较为准确手工检测出灰鸽子服务端。 M+ i; [/ n% m r' z! e) a! m3 e
; b% a7 Z' ?4 d1 [
+ z: [1 u. k# x& V小白:那是把“_hook.dll”结尾的文件删掉就可以吗?
4 G) C, y7 y' \& d' v; [5 A; N6 X) x9 l0 w O
* O" |5 U" ]0 E# G" w6 F大东:当然不是那么简单。由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模式下进行,而且要把Windows设置成显示所有文件。并打开Windows的“搜索文件”,文件名称输入“_hook.dll”,搜索位置选择Windows的安装目录(默认98/xp为C:\windows,2k/NT为C:\Winnt)。经过搜索,在Windows目录(不包含子目录)下发现了一个名为Game_Hook.dll的文件。
) K* G$ ]2 |! r7 t: R( j5 U' \
0 y4 q$ G' G1 V: n( ?% r# l3 H
) l n+ a3 v6 d小白:这就是灰鸽子文件了吧!
5 m. T) k, i0 x. o& a
) K$ \! a% y3 G0 K5 E ], l' o# \( u5 `
大东:还不能确定。如果Game_Hook.DLL是灰鸽子的文件,则在操作系统安装目录下还会有Game.exe和Game.dll文件。这才是真正的灰鸽子的服务端,不能“冤枉”好人啊!! ^2 z+ o' g) ^. \. U" L# g$ _" i
) z+ ]0 l3 M, Y/ p6 a
* [9 j# ]4 L% e& U: I
Game.exe和Game.dll。图片来源于网络 % J; d3 D4 c4 O. s# ~! _, p* _
8 Q$ b5 D5 M1 v3 Q% X$ Z6 p* a1 a* [2 B- I9 y2 P
小白:原来是在这样。把这几个文件删除就可以和灰鸽子病毒say goodbye了吧!
! x. C( ?" r, @1 R$ ~
2 ? q% B2 K! C2 \( z8 R" Y4 v/ r; e# O0 e; T
大东:总共有两步,这只是其中的一步。首先清除灰鸽子的服务,注意一定要在注册表里完成。清除灰鸽子的服务一定要先备份注册表,或者到纯DOS下将注册表文件更名,然后再去注册表删除灰鸽子的服务。因为病毒会和EXE文件进行关联。
5 Q1 ~$ q% \, X5 Q! p$ m' y L9 y s
/ F" ~% \% G: T: a& M' t' e
小白:东哥,具体应该怎么做啊?教教我呗。. A. p, X2 e: n$ ~
; d2 d* Y" P% ~ H
) b% _: ]$ S( }+ N( S' r* |4 O, L& S大东:第一步打开注册表编辑器(点击“开始”- “运行”,输入“Regedit.exe”,确定。),打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。第二步点击菜单“编辑” “查找”—“查找目标”输入“game.exe”,点击确定,我们就可以找到灰鸽子的服务项(此例为Game_Server,每个人这个服务项名称是不同的)。第三步删除整个Game_Server项。9 \+ ~: W( `, v9 b
' D8 e3 S7 e! s* h# s) i& B! c9 }; E+ Z" |8 U
查找game.exe。图片来源于网络
6 t% ~; a5 O5 z+ }. X0 S
; X# Y- u8 i2 z; M/ {1 _小白:这其中的第二步是不是就是我刚才说的删除Game.exe和Game.dll。: z( D5 X* ~. a$ w. o
4 D: y, M' |+ l/ w2 Q- S0 q9 U
' B4 L Q; m0 q3 w大东:bingo!你只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件,然后重新启动计算机,就彻底告别灰鸽子病毒了。& F4 u5 K6 R+ A; a* {' `8 { y' P& J
- Y, f$ r# f( S4 V四、防范措施
5 J$ [1 O! n) c, b a' a: H/ J$ [ T$ q( a' w, W$ S
小白:东哥,那该如何防范灰鸽子这类病毒呢?. |& Y! ~- Y( O1 a2 E% B
1 F4 V: \7 u. l; w7 h5 f6 ], H2 D2 D9 K) X' J2 J6 Y* \4 C9 o
大东:有些办法虽然有些原始,但总是最好用的。比如说给系统安装补丁程序。通过Windows Update安装好系统补丁程序(关键更新、安全更新和Service pack)。. q: ^$ Q4 ]1 [; t7 g
4 V5 O4 e4 W- Z. o
& b! E8 Y) a% q; H# P小白:东哥,我们老说打补丁,补丁的专业解释是什么呀?我们为什么要定期打补丁呢?
) r; T8 P$ p9 J; i ]" A; g. l' T8 ?
% n) `3 Q' W8 ?. K$ W
大东:补丁就是操作系统的不定期错误漏洞修复程序。一般在开发过程中,一开始有很多因素是没有考虑到的,但是随着时间的推移,存在的漏洞问题会慢慢被发现。这时候,为了对系统本身存在的漏洞问题进行修复,系统开发者会发布相应的补丁。黑客如果利用这些漏洞,就可以得到计算机的控制权。
5 b9 Z, L: o" P& Z7 T" W: ?$ [, V5 ~; A7 ^0 s5 Q; g' y0 d% ^
, F: L+ R; e, W/ q. l6 y" m小白:东哥,还有类似的“原始”方法吗?) n& F4 F4 i+ l7 d. y7 z
: x" X4 {9 E0 }5 H9 m
+ s X6 W m6 S1 n3 Z) B3 T
- P) M, C' ^5 y& b+ S
+ p* M) B8 `, |# E( G5 O大东:给系统管理员帐户设置足够复杂足够强壮的密码,最好能是10位以上,字母+数字+其它符号的组合;也可以禁用/删除一些不使用的帐户。如果记忆力够好,经常改变密码也是也是个不错的选择。
; Q5 _. s8 N5 @
( k5 E4 S5 o5 h$ E z
6 m: f( ?, h Y+ e小白:对,比如说我就经常换密码。- J& I( m( ^: f
) Y9 `: W" P! z1 i- w
+ Y9 N- x2 K. F* R: Q7 C( m大东:哎,不过你也总是忘记密码。不过单纯地讲,换密码这个习惯还是不错的。
5 F$ \$ C+ a/ L
& A- q6 z' n8 U+ Q# m
0 r. d8 f6 y& T c: O9 F. `小白:东哥,你总揭我老底,就不能给我留点面子嘛?& }9 t2 H& r4 Y& A/ I
) d: K, d# u# u4 U, K+ ]
0 E9 b4 W& `+ p8 q0 e! @大东:(装作听不见的样子) 嗯,我们继续说防范的方法。经常更新杀毒软件(病毒库),安装并合理使用网络防火墙软件是十分必要的。网络防火墙在防病毒过程中起到至关重要的作用,能有效地阻挡自来网络的攻击和病毒的入侵。* {5 b) A7 x# ]1 G3 `
/ K2 e* ~+ N) K1 p9 W6 w' U4 S9 K, u8 x4 W
小白:东哥,还有吗?& |. Y, u( B8 S" v# W2 h6 \
' e \4 R O4 A9 b3 l% b, z% x- g3 F/ C
/ N" F( i+ K' c" ~- p
大东:关闭一些不需要的服务,条件允许的话可以关闭没有必要的共享,也包括C$、D$等管理共享。完全单机的用户可直接关闭Server服务。( R9 L% b7 F* G7 g8 S
0 x# F8 G( e# O4 L; H5 e
0 S% |2 B( k6 v8 O9 E6 G
小白:懂了。东哥,通过你刚才的讲解,我回忆起来了许多东西。
/ G. }7 a% K; j+ x C
. K: }! h/ _7 z/ m1 {5 c
5 n9 V" a1 J. e @3 U, y7 K大东:温故而知新嘛!
. N: f; _3 u1 V' }
; u+ l6 P1 W7 T, l* z' T" Y' P. [# O9 Q" I3 K5 [, ~
来源:中国科学院计算技术研究所
- a- b+ d$ ^3 [! {" f* f
0 t6 Z7 x+ `+ t) T* \8 @6 K8 l- B) l$ O9 P; o
温馨提示:近期,微信公众号信息流改版。每个用户可以设置 常读订阅号,这些订阅号将以大卡片的形式展示。因此,如果不想错过“中科院之声”的文章,你一定要进行以下操作:进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」! ^( G: r+ m: X; ?$ e2 T
) m8 H0 u* f4 c( p) y# r2 O# {3 I! j& C5 n1 i
$ [, N$ m" [/ g' r; u" y
" \) ~; |+ I( e" q
* H0 B' E4 k0 h" B; B3 `( Y4 Z4 }; g+ N# U1 I
来源:http://mp.weixin.qq.com/s?src=11×tamp=1574510402&ver=1992&signature=Tvxe-dv0Pli2WOy8jx6-Hw7rnv9HYpasycZdOiA27ix8cPjxnROs0K1kkvdUU-4qOv15U3svsKSNcI-QAj5BtJGG0rX5r4iFdLPgzGOu9EXoWlxVCaXxE1chtktOJjK2&new=1
" L7 T& s9 h8 I( c免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?立即注册
×
|
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-11-23 20:40:29
