|
|
一、灰鸽子病毒事件' M3 M: c2 z9 b: J
# S5 C3 |+ S2 ~$ `* c5 ^
+ ^7 q5 O* a3 `* c" x0 B
小白:东哥,我最近弄了个新鲜的东西,可以远程控制我家的家电,例如空调,电视,冰箱……+ W) _9 s0 A( A% y; V) E# Q
4 R6 a4 x/ f& i# |% E
4 J% n7 _9 E( y; G# r d. b; q2 w4 @5 Z
大东:嗯,这个不错!
+ D) U) l2 K3 z ) I* p; V( O% s" O
; v+ W) [0 a/ ]' J* y( a# |手机远程控制空调。图片来源于网络 1 v/ W* {. A) D- S: [- \
$ N5 ^3 O1 \4 v! W; j
$ C3 A$ W0 ]& K! Q- E8 r, t; @5 K2 E
小白: 是啊,最便捷的是有手机、有WIFI就可以实现远程控制功能。
* y6 T4 b& L G0 N! C- i- \- {- q: o& l, j# |
$ t; [) N7 h+ s/ Z1 C% Z/ |! v" \
大东:等一下,便捷中往往隐藏着“邪恶”,你可要小心灰鸽子病毒啊!0 _% Q2 a. U: o* m0 a7 g I
; v! w" y' G% V
7 L w, K2 ~/ m- o; L5 A
小白:灰鸽子病毒?5 C0 J$ I; y; y! K J1 T5 Z5 j5 o# b
8 ]3 t8 m- S) t# U' s J, w- g6 |7 [, |# I+ V; T0 F
大东:是的。灰鸽子本身是一款远程控制软件,但是因为恶意使用,又被认为是一个集多种控制方法于一体的木马病毒,一旦用户电脑不幸感染,可以说用户的一举一动都在黑客的监控之下,要窃取账号、密码、照片、重要文件都轻而易举。. N: R: N d& @0 |% Z
% F' u6 ^4 x) G- I. W- m# j: B, G) ?4 \8 R% U& u
小白:我的天啊,那我的隐私岂不是完全暴露在大家的面前了?!5 L; K$ k$ w6 W1 K
`6 K8 C) c0 D- Q8 N# D. p+ k# m( ]' M% v& J
大东:不仅如此,他们还可以连续捕获远程电脑屏幕,还能监控被控电脑上的摄像头,自动开机(不开显示器)并利用摄像头进行录像。' M; Q4 r/ c- r) A/ n) a3 f- T
; h, D ]2 Z1 l" t
4 @5 `! Y6 O7 g! i1 g
小白:简直是太可怕了!假如我没洗头、没洗脸、穿着邋遢衣服的样子被拍了下来,上传到网上的话……( p2 l0 c# {6 R
( I C- u7 w, u1 R( k. L8 O$ z- @1 ^+ s+ ^% Z; F& d( n
. S! B& Y7 [: y) Y0 r n, @$ Y; X2 P1 @
大东:emmmmm……你这个颜值估计上传了也没人看。我们言归正传,继续说灰鸽子的事。随着“灰鸽子2007”的发布,当年仅3月1日至13日,金山毒霸截获的灰鸽子变种数就达到521个。盗号、偷窥、敲诈以及骇人听闻的公开“叫卖”,危害更甚于熊猫烧香。
& W' S2 H5 L5 Q2 S! u. Z- C7 m( b" S; R! L
; K2 L* \1 ]6 K/ x2 Y1 l3 \3 q/ o小白:这群人简直太可恶了!+ q* c* D( I# b" a5 E! c) G+ V
& |" i N& K$ q1 S" F1 X. e2 ?* L ~. J j. ~$ M E
大东:而且灰鸽子已不再是一个单纯的病毒,其背后是一条制造病毒、贩卖病毒、病毒培训为一体的黑色产业链,从某种意义上讲,灰鸽子的危害超出熊猫烧香10倍!
1 Q3 a* r, X3 r$ A7 w2 ^
5 Z( c0 I! | D) }
2 d9 U# c5 z6 x! n( a) C灰鸽子产业链示意图。图片来源于网络 " ]' ]% P2 ?8 i- ^1 A' s0 x0 }- n+ p
~& c w, I2 G0 t9 r$ O
小白:东哥,那我们就拿灰鸽子一点办法都没有吗?
5 K8 J: @2 _0 b6 y* T2 g
' `6 i! V2 O5 ~3 T
+ v8 K) z! \# Z- T7 N大东:灰鸽子虽然强大,但它并不是完美无缺的。让我为你解析一下这个难缠的病毒。
+ G! W% j7 Y! P' J4 g& ?/ G
0 m& d# t; j# Y$ Z二、灰鸽子病毒发展史0 ?9 B' O- N: q5 @& X. M9 \% O
: V* q" p# b2 p
' y* w5 [7 I/ j4 z# G' E& `大东:先来说说灰鸽子病毒的发展史吧。: L8 s- b2 t4 O( F+ g/ i3 I2 p( e
+ i8 N3 y4 |$ _/ `, M% p- H
( |: L( A1 [+ a- `1 Q8 [4 o小白:好呀,我最喜欢听历史了。% C' I* \% H1 x1 T8 C. z
- I- I; g% p1 b" t
( m+ O' `. G! i+ y0 ]/ X* r大东:灰鸽子病毒发展分三个时期:诞生期、模仿期、飞速发展期。
, R& y. q* i6 |$ z3 m1 \( j
" i, t' q9 q- V# E% G1 F3 @7 X" i* |9 w& j
小白:先说说诞生期吧。+ l% U9 A6 S7 b
! d, s1 Q' @! S9 l, s+ {4 f0 S g
& ~2 B# Q, X3 A( d6 S大东:诞生期自2001年,灰鸽子诞生之日起,就被反病毒专业人士判定为最具危险性的后门程序,并引发安全领域的高度关注。2004年、2005年、2006年,灰鸽子木马连续三年被国内各大杀毒厂商评选为年度十大病毒,灰鸽子也因此声名大噪,逐步成为媒体以及网民关注的焦点。
# a! ]. j3 \7 H
- i. t6 v, p( e; K5 J
8 A1 ~$ B6 T( i4 [小白:最具危险性的后门程序,听上去很厉害嘛。
3 J, a9 w- d$ ]' n
) h8 W; X) u5 y% { Z5 o a; @- O$ a$ I% ]
大东:模仿时期,灰鸽子最早出现的时候是在模仿“冰河”。它采用Delphi编写,采用了源码共享的方式出现在互联网。虽然“灰鸽子”在当时的名气不及“冰河”,但由于开放源码的方式让“灰鸽子”逐渐增大了传播量。( \+ b% z3 A3 A/ ~$ u& T9 @
' D& M9 R0 A N4 @% h" J
, ~5 \0 \/ v' Z+ H+ T0 p
小白:这么说来冰河是灰鸽子的“前辈”啦!那冰河也是远程控制软件吗?: e- b% t$ }3 j9 ^# r3 K: b
' p! j' |$ e& w8 j" s$ H
+ b, a5 S6 D7 N6 L s大东:是的。冰河的可怕之处在于自动跟踪目标机屏幕变化,同时可以完全模拟键盘及鼠标输入、记录各种口令信息。还包括获取系统信息,例如计算机名、注册公司、当前用户等多项系统数据。远程关机、远程重启计算机、锁定鼠标及锁定注册表等多项功能限制也是他的拿手强项。/ q& n3 L" {1 T& b g
8 t) t! ]' M' B$ ]( V0 m! e
7 r1 F* ~, y+ [8 Y' A4 |小白:说远了,该说灰鸽子病毒飞速发展时期了。7 {1 q( X f. A& O4 _
, m) w- J j4 W0 b4 _) o" b( |/ ^2 ^' v
大东:2004和2005这两年之间,灰鸽子逐步进入了成熟的状态,由于源码的释放,大量变种在互联网中衍生。2004年灰鸽子总共发现了1000多变种,而在2005年,这个数字迅速上升到了3000多。
/ S+ s* e, _/ A: k" b
+ D6 m! t% s2 \6 ~! a, K) n4 p& g; L5 H1 E1 _! i$ j, `1 w# u
小白:变种也太快了吧?!, ?' |/ o' T+ V+ Y
7 e6 U" J% k# I; N7 E
) P$ I# P3 |' {2 R E大东:“灰鸽子”最大的危害在于潜伏在用户系统中,由于其使用的“反弹端口”原理,一些在局域网(企业网)中的用户也受到了“灰鸽子”的侵害,使得受害用户数大大提高。2004年的感染统计为103483人,而到2005年数字攀升到890321人。“灰鸽子”本身所具备的键盘记录、屏幕捕捉、文件上传下载和运行、摄像头控制等功能,将使用户没任何隐私可言,更可怕的是服务端高度隐藏自己,使受害者无从得知感染此病毒。9 M2 y, F) [1 S5 w7 y) i
8 [2 D: E( N9 r+ D3 C) d2 C
9 u' Q3 C, l3 s
小白:令人害怕!) }. J- ~ H/ }1 j
2 J3 B# t5 O4 {三、灰鸽子病毒清除办法
) n7 \2 _! q% f3 }8 H8 k3 w4 L4 F" a& Q, Y) d& R& |: L
2 F* G3 u( V4 z. u大东: 但是利用一些检测方法就可以将灰鸽子揪出来。通过研究发现,无论自定义的服务器端文件名是什么,一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点,我们可以较为准确手工检测出灰鸽子服务端。
* N9 H4 f! l) y7 L; V0 v* b, r- _
" Y# c, ^, F5 L" I; {小白:那是把“_hook.dll”结尾的文件删掉就可以吗?
* I. J: O* D( K+ m5 P2 ]3 w
! ]- I3 W# `" s+ z* |% v
' _) h$ o* l! a7 g% ]) D9 |' _大东:当然不是那么简单。由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模式下进行,而且要把Windows设置成显示所有文件。并打开Windows的“搜索文件”,文件名称输入“_hook.dll”,搜索位置选择Windows的安装目录(默认98/xp为C:\windows,2k/NT为C:\Winnt)。经过搜索,在Windows目录(不包含子目录)下发现了一个名为Game_Hook.dll的文件。, R) b$ ~- z" g0 u* g# n+ a3 g
7 A0 L& z- B. @" V
9 Y( I# \0 X7 f小白:这就是灰鸽子文件了吧!
: ]& S( _1 M) w9 X; T- j) ?' B$ P& G* x; d. M, ^
3 h `+ G5 H2 _大东:还不能确定。如果Game_Hook.DLL是灰鸽子的文件,则在操作系统安装目录下还会有Game.exe和Game.dll文件。这才是真正的灰鸽子的服务端,不能“冤枉”好人啊!
+ o E( U! @ G
( m% K9 c$ u0 X2 F; h8 M5 S( w. n n' t# r9 ]
Game.exe和Game.dll。图片来源于网络
1 ^" r( S' b( n4 x( |& ^/ ]: O9 z9 q$ a: V! K; M- o1 @
: e8 H R' {. z |$ s& y小白:原来是在这样。把这几个文件删除就可以和灰鸽子病毒say goodbye了吧!1 N6 i3 |# z4 r- ~1 R
N9 b. V8 j* i( z8 b9 z/ M' V6 W* i: X: i4 k3 u2 j, k
大东:总共有两步,这只是其中的一步。首先清除灰鸽子的服务,注意一定要在注册表里完成。清除灰鸽子的服务一定要先备份注册表,或者到纯DOS下将注册表文件更名,然后再去注册表删除灰鸽子的服务。因为病毒会和EXE文件进行关联。
# m0 w1 V0 m5 l) o7 o% v2 a: e. i6 y' g
, n5 V$ `- c" \# {5 v! i小白:东哥,具体应该怎么做啊?教教我呗。* q3 b% T5 L: j' p" ~4 ]
$ w3 v( V5 Y: X, q1 h2 x5 q3 Z; G0 N' A7 ]' \* v2 ^
大东:第一步打开注册表编辑器(点击“开始”- “运行”,输入“Regedit.exe”,确定。),打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。第二步点击菜单“编辑” “查找”—“查找目标”输入“game.exe”,点击确定,我们就可以找到灰鸽子的服务项(此例为Game_Server,每个人这个服务项名称是不同的)。第三步删除整个Game_Server项。) Q9 S5 Z" A+ `' H5 c- J& a: V
4 C1 L1 w H# f: u9 M
! i. t7 @6 @# T! B3 c' l/ e查找game.exe。图片来源于网络 & ]. Z- v; g: {$ m! V5 [2 X
4 h0 I o9 r' T2 S小白:这其中的第二步是不是就是我刚才说的删除Game.exe和Game.dll。
( T; l& M% ~& G" e2 h2 m, j3 \" z$ l3 w1 g& @1 {
1 I) h$ [0 k: X* e. z大东:bingo!你只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件,然后重新启动计算机,就彻底告别灰鸽子病毒了。3 u6 }8 ~; u$ \( R5 J8 Z, O; |, \/ T
\6 W$ Z, t; j四、防范措施
! N/ _: Y; z5 i$ V7 w4 C+ |9 X4 a$ b) Y( F } K
小白:东哥,那该如何防范灰鸽子这类病毒呢?
- T v+ o% k4 o; w0 l) N4 `
$ _* t6 J4 d2 f: C+ r6 W* ^0 m9 g, M% h8 t6 p1 {# \
大东:有些办法虽然有些原始,但总是最好用的。比如说给系统安装补丁程序。通过Windows Update安装好系统补丁程序(关键更新、安全更新和Service pack)。) w% l4 w* h% N+ U& s
$ v$ ]0 n! `, |
* Q3 q4 f* U! z: [! a k9 ~3 e
小白:东哥,我们老说打补丁,补丁的专业解释是什么呀?我们为什么要定期打补丁呢?2 y0 L; G7 r* C& w9 X: n2 U0 w+ ~- N* w
* g( @. i" r8 L: c* y7 l) `
, @6 k% z4 g3 i
大东:补丁就是操作系统的不定期错误漏洞修复程序。一般在开发过程中,一开始有很多因素是没有考虑到的,但是随着时间的推移,存在的漏洞问题会慢慢被发现。这时候,为了对系统本身存在的漏洞问题进行修复,系统开发者会发布相应的补丁。黑客如果利用这些漏洞,就可以得到计算机的控制权。4 p; N1 O$ W9 u
9 m8 r8 K/ r X1 |6 y- G* _
; u( ~1 u" L8 E8 Q
小白:东哥,还有类似的“原始”方法吗?, h) I: m4 l9 ]0 Q+ C$ |
/ X) `; j8 a8 Q# @1 J6 x, |- ?6 T0 |( w, o6 D, W; a$ |# I
: k* @! z0 C" }0 d* b5 y
# L% R) Q. u; s, x$ V大东:给系统管理员帐户设置足够复杂足够强壮的密码,最好能是10位以上,字母+数字+其它符号的组合;也可以禁用/删除一些不使用的帐户。如果记忆力够好,经常改变密码也是也是个不错的选择。
9 B; c x$ V1 e/ T: ~! g/ @) P4 {$ ^ J8 Q+ K* P6 m" o* z
& n& M2 Z$ {' G1 @+ Q小白:对,比如说我就经常换密码。
2 a$ V7 L( }2 d+ N' \2 C
# P4 ~6 `; z2 g( O: L7 y( Q- i2 r, K& i- ]
大东:哎,不过你也总是忘记密码。不过单纯地讲,换密码这个习惯还是不错的。
7 C* x. e. }" L7 @% S, o% y' C# ]: v+ d% n: r: H1 j- i7 D
/ Y& h& P# Z# l5 ~小白:东哥,你总揭我老底,就不能给我留点面子嘛?8 r' [" }% i9 n4 X9 C! ]
5 A$ H- x1 } B% ?* K+ @
8 ]/ v* I0 P4 L1 r' h2 v* ?4 g
大东:(装作听不见的样子) 嗯,我们继续说防范的方法。经常更新杀毒软件(病毒库),安装并合理使用网络防火墙软件是十分必要的。网络防火墙在防病毒过程中起到至关重要的作用,能有效地阻挡自来网络的攻击和病毒的入侵。
4 b# `6 g0 \' n6 _" _
6 {, y2 f. f' `0 W3 R4 o7 c; t9 s ~' \; j' _- X+ r4 @* M; {
小白:东哥,还有吗?4 O* i3 A& @ g# T/ p9 _, m( d
) }3 [& | @/ a
4 ?. u9 u* L) X* q
大东:关闭一些不需要的服务,条件允许的话可以关闭没有必要的共享,也包括C$、D$等管理共享。完全单机的用户可直接关闭Server服务。
+ \7 f- C2 I: U3 n$ P5 e5 b# y5 R8 l. y
; d; L3 x, ]8 n g小白:懂了。东哥,通过你刚才的讲解,我回忆起来了许多东西。& u3 p+ N$ }. ~' ^
9 d, z/ e$ d; x) j' T: |4 C1 w6 u- y5 Q
大东:温故而知新嘛!
$ I' [; N: f% P, y Y: u' |- j n2 Y1 h
8 t% W# C# ]& a+ k% }& `1 l来源:中国科学院计算技术研究所& c4 h. W* `$ _4 a( M5 s) L
0 M6 z, |. T! I+ Z/ p2 z+ `: Z0 \6 Z# }0 X
温馨提示:近期,微信公众号信息流改版。每个用户可以设置 常读订阅号,这些订阅号将以大卡片的形式展示。因此,如果不想错过“中科院之声”的文章,你一定要进行以下操作:进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」
) g/ v/ W% v6 v/ u! ~! n( h; i: ~* Q/ i; V3 q- I: M
( r$ k1 l/ x, S' t% P& k5 u( N) j: m! K$ J4 M1 [1 `2 u
5 z2 m3 D, ~. O9 L& K f
+ M, G% W+ P9 O, {0 m0 a# S
" o& n( F) l/ q# W! _1 D z h1 a+ Z来源:http://mp.weixin.qq.com/s?src=11×tamp=1574510402&ver=1992&signature=Tvxe-dv0Pli2WOy8jx6-Hw7rnv9HYpasycZdOiA27ix8cPjxnROs0K1kkvdUU-4qOv15U3svsKSNcI-QAj5BtJGG0rX5r4iFdLPgzGOu9EXoWlxVCaXxE1chtktOJjK2&new=1
( f' \% b- I% ]* I' _" B' E免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?立即注册
×
|