|
|
一、灰鸽子病毒事件) w/ y( a8 F W3 x8 z6 ?
! y; t! A9 q5 ?8 c* U1 @8 ? s+ C$ l( ]# a
小白:东哥,我最近弄了个新鲜的东西,可以远程控制我家的家电,例如空调,电视,冰箱……( w3 x7 S5 e- y: ]
* m; x9 ?% O. p; {8 ^
4 l; _) R6 P) j+ F& P
大东:嗯,这个不错!2 \. o2 B. p4 I
7 @8 I5 m% j5 r
' g( D% }9 I" w0 W5 j! d手机远程控制空调。图片来源于网络 + T' m$ r" E2 ~
, p/ X3 ~4 X% j2 I0 F3 ?' B; q& ^+ x; S
小白: 是啊,最便捷的是有手机、有WIFI就可以实现远程控制功能。
( x9 H5 i8 r1 A, X8 L; c3 h
: I6 ~$ I0 a8 S3 A+ w/ Y' r9 O* W% v) L
大东:等一下,便捷中往往隐藏着“邪恶”,你可要小心灰鸽子病毒啊!1 K8 ^/ y. w& ^- o$ \1 M" |' U* z
9 v* }/ C& k. x) E$ B( @; L' A% C3 C v9 v0 ?" w Q
小白:灰鸽子病毒?2 J* Y1 [/ H) N5 ^
# |- t' \4 o, Z" d! J
1 Z$ [! v% X; c' }( h7 r5 d大东:是的。灰鸽子本身是一款远程控制软件,但是因为恶意使用,又被认为是一个集多种控制方法于一体的木马病毒,一旦用户电脑不幸感染,可以说用户的一举一动都在黑客的监控之下,要窃取账号、密码、照片、重要文件都轻而易举。
1 H3 b' {) g" i
' p6 L# }+ i2 M+ d# F( {* I- n1 Z8 N" a/ _+ F
小白:我的天啊,那我的隐私岂不是完全暴露在大家的面前了?! O7 L9 z+ {% o
2 h2 Z& W H; {8 v5 z+ j: e5 D% `, b% W/ J" S& E' W! @# C! N9 \
大东:不仅如此,他们还可以连续捕获远程电脑屏幕,还能监控被控电脑上的摄像头,自动开机(不开显示器)并利用摄像头进行录像。
# q, i, Q! o k, \/ {$ M
& N8 m0 M$ V3 E
}$ ^- ~* K. E" u6 M4 W& D小白:简直是太可怕了!假如我没洗头、没洗脸、穿着邋遢衣服的样子被拍了下来,上传到网上的话……
+ N( E" ] L, w+ M1 Y% K6 [4 W
3 h8 d- _' P' h4 c8 K" w; q5 @2 t( u [! r: _
6 }+ R ?" X1 M, U
/ Y* T: j3 A1 C$ X4 Y1 t1 l, l
大东:emmmmm……你这个颜值估计上传了也没人看。我们言归正传,继续说灰鸽子的事。随着“灰鸽子2007”的发布,当年仅3月1日至13日,金山毒霸截获的灰鸽子变种数就达到521个。盗号、偷窥、敲诈以及骇人听闻的公开“叫卖”,危害更甚于熊猫烧香。* {# _' e# J2 D( h8 S( q
5 @0 x5 N, d7 r+ d `& I: e
. s% \/ _9 \/ ^- |# [小白:这群人简直太可恶了!
8 [2 `" |5 O# b9 L" r
4 v( \1 d! s7 W- D9 e+ \" B6 s7 ^1 S* h& B2 ?; Q
大东:而且灰鸽子已不再是一个单纯的病毒,其背后是一条制造病毒、贩卖病毒、病毒培训为一体的黑色产业链,从某种意义上讲,灰鸽子的危害超出熊猫烧香10倍!
5 l, F/ t% ?4 ` 9 |8 G# L4 i; S" s* v: b
: S) ]5 U0 ]0 U9 @; u灰鸽子产业链示意图。图片来源于网络
+ `1 C0 E' U, Q; x% O5 ?; d/ J$ N+ X5 t& h
小白:东哥,那我们就拿灰鸽子一点办法都没有吗?& u# s {3 {" v0 v% H& n
! W5 u$ M9 m* S) }
8 @3 m0 S) r8 P8 e) Z
大东:灰鸽子虽然强大,但它并不是完美无缺的。让我为你解析一下这个难缠的病毒。
5 W: q$ [1 @' G6 G0 e
5 [2 ~2 D7 |/ A; q二、灰鸽子病毒发展史/ Z$ `' I# k1 N
/ n, c6 @, l/ Y: y; p& \
* o4 ^6 y' ~% {大东:先来说说灰鸽子病毒的发展史吧。
, J6 m1 J* P2 k' _! R. {/ U6 a( a& z
% u0 g: t; U3 d h小白:好呀,我最喜欢听历史了。* L' e3 I( [% W5 j! V' r8 i
1 d/ B1 E, y. u6 E- z3 N
3 @- U8 _3 Q- d" w5 B大东:灰鸽子病毒发展分三个时期:诞生期、模仿期、飞速发展期。
& d8 l- U8 i% T
- E' L6 u2 a: K7 o* [0 }' e
+ a6 U; y& ]+ ~4 Q小白:先说说诞生期吧。, q9 w/ F+ B8 P2 @" Z3 u: V
B2 f. z2 k( s- j" y9 w
. a1 S$ T9 Q( t. ~/ s5 H大东:诞生期自2001年,灰鸽子诞生之日起,就被反病毒专业人士判定为最具危险性的后门程序,并引发安全领域的高度关注。2004年、2005年、2006年,灰鸽子木马连续三年被国内各大杀毒厂商评选为年度十大病毒,灰鸽子也因此声名大噪,逐步成为媒体以及网民关注的焦点。
. }& d6 H0 [# L6 \/ q9 l) \' G8 x: j, [2 S+ V4 v( v/ Y( z7 l6 L9 k
; x* ^2 J) D }! C, r小白:最具危险性的后门程序,听上去很厉害嘛。0 H3 F l* F) q( a, D
& t; x5 q2 B( h$ c9 l h! \; ^2 s# g& F: W0 v! D: V" [5 w
大东:模仿时期,灰鸽子最早出现的时候是在模仿“冰河”。它采用Delphi编写,采用了源码共享的方式出现在互联网。虽然“灰鸽子”在当时的名气不及“冰河”,但由于开放源码的方式让“灰鸽子”逐渐增大了传播量。
" {# V0 Y7 n2 [+ z' V$ P% G* c3 p( t8 e; ^# @. J5 V
* I: m! b. D0 ~4 R4 f小白:这么说来冰河是灰鸽子的“前辈”啦!那冰河也是远程控制软件吗?
! R7 O$ _. c. I B/ \# u
+ z/ Z0 H8 w% V' L1 }3 L0 r$ d$ ~+ r" n7 R k
大东:是的。冰河的可怕之处在于自动跟踪目标机屏幕变化,同时可以完全模拟键盘及鼠标输入、记录各种口令信息。还包括获取系统信息,例如计算机名、注册公司、当前用户等多项系统数据。远程关机、远程重启计算机、锁定鼠标及锁定注册表等多项功能限制也是他的拿手强项。
2 K5 c( j8 k8 n; A6 F9 Z1 g$ \/ z/ u l I
3 ?: c" k6 q6 E4 {
小白:说远了,该说灰鸽子病毒飞速发展时期了。
4 ?7 {" g7 s& U/ X) T3 b1 o: k' P1 P0 o4 Z
% q* b1 V v3 Y; E U7 g6 a大东:2004和2005这两年之间,灰鸽子逐步进入了成熟的状态,由于源码的释放,大量变种在互联网中衍生。2004年灰鸽子总共发现了1000多变种,而在2005年,这个数字迅速上升到了3000多。' j+ |4 f$ A' i2 `4 G( L0 y7 \5 ^
0 W0 O$ q* \) D. D; A0 d, _0 q( m: C0 X* a! i* h: s% X
小白:变种也太快了吧?!
! c" b' L6 Q4 @. h( M3 J* D
9 V5 J" T3 B& Q' v8 w# R' O9 x% |( x: v! y
大东:“灰鸽子”最大的危害在于潜伏在用户系统中,由于其使用的“反弹端口”原理,一些在局域网(企业网)中的用户也受到了“灰鸽子”的侵害,使得受害用户数大大提高。2004年的感染统计为103483人,而到2005年数字攀升到890321人。“灰鸽子”本身所具备的键盘记录、屏幕捕捉、文件上传下载和运行、摄像头控制等功能,将使用户没任何隐私可言,更可怕的是服务端高度隐藏自己,使受害者无从得知感染此病毒。( k! s0 z3 w8 u0 C1 P: w- Q
$ X. U) g- F4 I+ ~$ V/ J' ?( w, m: E: a) m
小白:令人害怕!7 c0 W+ o2 ]! f9 W+ O4 N. Y% q
" L2 S4 q( p+ l
三、灰鸽子病毒清除办法9 u( N- A L8 `1 Z7 \
1 N6 J+ K) R% M- q V
- d' x6 s% c5 n; i3 N大东: 但是利用一些检测方法就可以将灰鸽子揪出来。通过研究发现,无论自定义的服务器端文件名是什么,一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点,我们可以较为准确手工检测出灰鸽子服务端。9 _% H Y o) M9 [) r1 T( G( j9 Q
. e$ X, z% @" X
# m" u/ h% x8 |3 }7 u
小白:那是把“_hook.dll”结尾的文件删掉就可以吗?" W" k w( W% w B
1 c$ m2 t' t' {4 k) i
5 o8 t4 q- q/ c8 n大东:当然不是那么简单。由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模式下进行,而且要把Windows设置成显示所有文件。并打开Windows的“搜索文件”,文件名称输入“_hook.dll”,搜索位置选择Windows的安装目录(默认98/xp为C:\windows,2k/NT为C:\Winnt)。经过搜索,在Windows目录(不包含子目录)下发现了一个名为Game_Hook.dll的文件。6 ?, p6 V2 r1 b7 s2 d+ g
4 P, R7 h+ h4 Q E
0 t) a+ g! L$ g8 u2 m
小白:这就是灰鸽子文件了吧!
a, h) ~' L) Q* _; U+ T9 G/ p& m
* G- ~, r3 M1 _/ L. a+ e6 L
1 y+ \: r* q) f w& k大东:还不能确定。如果Game_Hook.DLL是灰鸽子的文件,则在操作系统安装目录下还会有Game.exe和Game.dll文件。这才是真正的灰鸽子的服务端,不能“冤枉”好人啊!
) \ ^* n$ f5 l$ {
5 O! H/ N6 J+ K( R7 ]8 W9 f, n( E
Game.exe和Game.dll。图片来源于网络 7 @! L X. G7 ~, A
1 q; S7 o' |5 Y" S) @
]8 c$ C4 z! h. l+ ~3 u( e
小白:原来是在这样。把这几个文件删除就可以和灰鸽子病毒say goodbye了吧!( C7 ?0 x8 R- f, ~- ]/ k* V
7 S+ k/ a2 w- y
9 }4 S' n$ v! X& m; B
大东:总共有两步,这只是其中的一步。首先清除灰鸽子的服务,注意一定要在注册表里完成。清除灰鸽子的服务一定要先备份注册表,或者到纯DOS下将注册表文件更名,然后再去注册表删除灰鸽子的服务。因为病毒会和EXE文件进行关联。
: A# f, Y/ \" p3 x( E7 W
& t. _! \7 P# _; R3 w, n, A, m/ ?+ ^3 b, `& n
小白:东哥,具体应该怎么做啊?教教我呗。
7 l; l7 {- O& Q5 w+ Y( \3 |* B' t- {/ ~8 Q: S% p# m$ c( M9 L
5 X: ^; h! J4 R1 o" T! l
大东:第一步打开注册表编辑器(点击“开始”- “运行”,输入“Regedit.exe”,确定。),打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。第二步点击菜单“编辑” “查找”—“查找目标”输入“game.exe”,点击确定,我们就可以找到灰鸽子的服务项(此例为Game_Server,每个人这个服务项名称是不同的)。第三步删除整个Game_Server项。
+ { l- @7 f# [- K" @; [
3 ?& X2 m6 y: j, u4 x2 Q
0 W2 x+ {. e8 h- J查找game.exe。图片来源于网络 ( z& P/ V3 A9 d8 l0 Z) Q
, P7 [, g2 O# ]' j小白:这其中的第二步是不是就是我刚才说的删除Game.exe和Game.dll。$ q/ X+ S" b0 e B8 z
" r. j" _1 ^8 t* v$ o- z j6 d0 L+ m, I$ G! [3 N( L- }0 E8 X
大东:bingo!你只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件,然后重新启动计算机,就彻底告别灰鸽子病毒了。
3 H/ g, O z3 x1 \0 L: U
* W* d E w2 `四、防范措施& [8 @) J$ k# Z t: f( U7 G
2 h2 V/ K! e6 A1 @/ O3 N小白:东哥,那该如何防范灰鸽子这类病毒呢?
5 @3 _! w C2 F& u# a7 u
) Z" R3 |# J: ]0 t) N4 Z1 q0 I
4 S( O+ p, j9 X' B+ ]1 B& }大东:有些办法虽然有些原始,但总是最好用的。比如说给系统安装补丁程序。通过Windows Update安装好系统补丁程序(关键更新、安全更新和Service pack)。3 W* z3 r/ H/ B
! D! P. B9 x& ~ B& a6 m- j
" z0 Z7 M! N; _' B# A小白:东哥,我们老说打补丁,补丁的专业解释是什么呀?我们为什么要定期打补丁呢? r! N3 Q. @: b
, T: h: e# w' e* P7 H
( C$ n. _. _& a) ?; ?4 u3 u大东:补丁就是操作系统的不定期错误漏洞修复程序。一般在开发过程中,一开始有很多因素是没有考虑到的,但是随着时间的推移,存在的漏洞问题会慢慢被发现。这时候,为了对系统本身存在的漏洞问题进行修复,系统开发者会发布相应的补丁。黑客如果利用这些漏洞,就可以得到计算机的控制权。
: M l7 _0 D7 C+ A: R1 p9 R d8 ~* j
* A2 f2 z% k p" |
小白:东哥,还有类似的“原始”方法吗?4 ~! L2 V' ~& q: J: v8 X% ?. [+ S
7 c2 A4 P1 k* H9 `# _; R& O
7 h) i) ]3 |! a7 v; g4 J \
. V% Z9 C. K6 |6 t
% j0 z. z; U2 [( M
大东:给系统管理员帐户设置足够复杂足够强壮的密码,最好能是10位以上,字母+数字+其它符号的组合;也可以禁用/删除一些不使用的帐户。如果记忆力够好,经常改变密码也是也是个不错的选择。0 I5 M( ]1 j) O* `8 L) R
9 l* ]; Z* S3 y+ I% g: o
) G. f v0 ^: l' s& C! u* `
小白:对,比如说我就经常换密码。
1 ~ h$ E3 a' u% A8 n8 [# { t& A7 i9 g; T
5 s4 I2 j' c# a8 R6 D+ I0 u# D; E
大东:哎,不过你也总是忘记密码。不过单纯地讲,换密码这个习惯还是不错的。6 \5 Y |2 w: K0 W% A, u* M
) R* s+ Y+ T1 H/ `& a& a) N2 q
* s' m! [. q/ K2 I1 A% ^小白:东哥,你总揭我老底,就不能给我留点面子嘛?
8 C7 }5 Y* Y/ c7 e8 N+ d8 S! J
9 N, {# J9 W( v' M2 G: ^) L+ a: J6 E5 e2 \$ d7 P- O$ i. S( H0 Q5 Y0 e
大东:(装作听不见的样子) 嗯,我们继续说防范的方法。经常更新杀毒软件(病毒库),安装并合理使用网络防火墙软件是十分必要的。网络防火墙在防病毒过程中起到至关重要的作用,能有效地阻挡自来网络的攻击和病毒的入侵。
) J' [6 {+ }7 `6 w0 o# R3 H- a( V& W2 z" A# j7 K
$ Q4 W& r. m: x2 {小白:东哥,还有吗?
* F3 W/ T2 W/ X
" k, j1 O& \: k- i
, u" |( z6 w% j0 K7 F3 t7 n0 r大东:关闭一些不需要的服务,条件允许的话可以关闭没有必要的共享,也包括C$、D$等管理共享。完全单机的用户可直接关闭Server服务。
: _7 ^& h5 n) T* x# S9 O) Z/ F0 r9 S
' v: t% \2 R4 u* C! J4 Y
小白:懂了。东哥,通过你刚才的讲解,我回忆起来了许多东西。
) t; W$ p3 R4 u5 n$ H8 S) |
, |8 E% o) `8 b3 g: d* `
% u2 h" s( i4 c/ S: g/ @大东:温故而知新嘛!' \: n3 d5 I* P9 [3 h9 G
6 ]+ R' h* x6 g) e, E
- N/ {2 K7 m& G来源:中国科学院计算技术研究所% {3 u* _" ]0 B
% M5 B! h) p& _8 J0 p& x3 ^4 d' [) K$ m9 k; y6 H; J
温馨提示:近期,微信公众号信息流改版。每个用户可以设置 常读订阅号,这些订阅号将以大卡片的形式展示。因此,如果不想错过“中科院之声”的文章,你一定要进行以下操作:进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」5 D2 B( @$ V8 J' [; H# `- G
+ y5 Y1 R2 b* f- a1 h
9 |* O# r2 Y: C8 b9 |0 k9 f8 B6 P1 y: V1 D0 S! B* Q
; p' U+ U" B: U9 Y3 y+ k- w
( i. t7 E; i, \) W0 f% {6 s9 ^9 G, v& O0 ^) d' U/ k5 p
来源:http://mp.weixin.qq.com/s?src=11×tamp=1574510402&ver=1992&signature=Tvxe-dv0Pli2WOy8jx6-Hw7rnv9HYpasycZdOiA27ix8cPjxnROs0K1kkvdUU-4qOv15U3svsKSNcI-QAj5BtJGG0rX5r4iFdLPgzGOu9EXoWlxVCaXxE1chtktOJjK2&new=1
) V4 Q. J9 L1 c4 M5 m4 Z1 {' \* l免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?立即注册
×
|
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-11-23 20:40:29
