|
|
一、灰鸽子病毒事件
$ v# } w4 i6 O; g; n( O8 n
7 I! `. d0 X, f* s
% R0 C0 \: Z. V* K5 y' c小白:东哥,我最近弄了个新鲜的东西,可以远程控制我家的家电,例如空调,电视,冰箱……
& f% O ^. d: J* V; n, `; b- k/ n7 u6 H& L# Q9 N! f
4 H8 v4 y6 N' `/ D. y
大东:嗯,这个不错!
. [: h5 v: u9 @$ Y3 T! O5 h+ n 5 @# n& W" ^( b) F8 a8 K8 p! `+ T
$ ?, w7 |% {2 [4 W4 P手机远程控制空调。图片来源于网络
+ P' Y" J5 w. E# p, H" ^. J7 ^) }8 u6 t
3 V/ v" q% i6 @
小白: 是啊,最便捷的是有手机、有WIFI就可以实现远程控制功能。
- V: }5 \) r1 y. Q5 I; a& f+ |) }; l
" s" ~$ w# }9 k" \& T大东:等一下,便捷中往往隐藏着“邪恶”,你可要小心灰鸽子病毒啊!
6 d/ { e* T" \3 B$ {7 ?
" p4 A6 A3 s7 l( M% w) \1 l+ O3 Q" c1 k. o& X1 u8 n, K
小白:灰鸽子病毒?: e2 N; ^0 E" r9 g( z! e
1 {9 Q* q, I7 Z5 C8 p" U- t/ J9 n: u2 }- w
大东:是的。灰鸽子本身是一款远程控制软件,但是因为恶意使用,又被认为是一个集多种控制方法于一体的木马病毒,一旦用户电脑不幸感染,可以说用户的一举一动都在黑客的监控之下,要窃取账号、密码、照片、重要文件都轻而易举。
' W, w/ O ~1 h7 g, A- Z) f- [! c& `& p1 }2 H9 N, S2 W) K
+ O2 u4 e4 |# ~0 D2 _0 f3 V$ B* w小白:我的天啊,那我的隐私岂不是完全暴露在大家的面前了?!
( \8 X. K* j" P9 g4 F- z+ X0 }$ D) L2 A
& ~) u& x% c5 q1 j0 ?大东:不仅如此,他们还可以连续捕获远程电脑屏幕,还能监控被控电脑上的摄像头,自动开机(不开显示器)并利用摄像头进行录像。
1 j5 e2 g' c9 p2 L8 `
) p K5 Q( A7 ^: f! u# H' ?
' @5 g7 X! n8 `- Q4 P# @小白:简直是太可怕了!假如我没洗头、没洗脸、穿着邋遢衣服的样子被拍了下来,上传到网上的话……# w4 [4 G/ h5 Q6 N2 d$ w" u& C
' e/ x# M V4 b5 I- _3 D
: T9 x" h! j& O0 ]& y8 C
5 E; f7 `( S) x* C3 |
7 q6 k% a* l+ ]* e! B大东:emmmmm……你这个颜值估计上传了也没人看。我们言归正传,继续说灰鸽子的事。随着“灰鸽子2007”的发布,当年仅3月1日至13日,金山毒霸截获的灰鸽子变种数就达到521个。盗号、偷窥、敲诈以及骇人听闻的公开“叫卖”,危害更甚于熊猫烧香。
/ v. _! T/ A. F {# R
; f) T+ I5 P' D. t% b3 L: u6 b; w6 b% X# W% w0 r
小白:这群人简直太可恶了!
2 { g4 {/ N( a( L6 J8 J& e6 n7 A' o2 ^; {* F6 [+ }# `7 n: K
! {+ O8 l! u& T6 B
大东:而且灰鸽子已不再是一个单纯的病毒,其背后是一条制造病毒、贩卖病毒、病毒培训为一体的黑色产业链,从某种意义上讲,灰鸽子的危害超出熊猫烧香10倍! 7 d) Q( Z! h$ Q$ k* Q
8 w. H+ q- C/ t; u& |1 S: M
, `$ e* Q6 U* r/ C/ R( A- ]
灰鸽子产业链示意图。图片来源于网络
! m8 D! `: ~6 R+ o7 @! c6 @' k% Z) @9 l4 N
小白:东哥,那我们就拿灰鸽子一点办法都没有吗?
& F" T% H4 Q' M. k5 n0 e6 l( X: y0 m% t
# A( m+ o t( k. N4 H# E( r/ I s- f大东:灰鸽子虽然强大,但它并不是完美无缺的。让我为你解析一下这个难缠的病毒。5 n" t3 J; S, F! U
' O- @' a% Y J, u; m. J7 r6 C; r" n2 T二、灰鸽子病毒发展史) Q3 E8 ^: Z' |* j
7 t( R4 {; m/ _
: p' Z1 I: A" ?7 \, d9 r7 z+ o
大东:先来说说灰鸽子病毒的发展史吧。; ?9 }' P4 C( h. _
7 A/ ]) N8 j1 e
4 a, i1 d; h6 N! G! ?1 Q4 h# Y2 B
小白:好呀,我最喜欢听历史了。% I0 q& r+ ?* z, |
9 n5 L+ T) p5 [9 V5 G; e- Y
, M3 ?: g% a1 m3 y4 p x大东:灰鸽子病毒发展分三个时期:诞生期、模仿期、飞速发展期。: o; b' i+ N2 ?1 q5 g) N
: L( ^+ r7 f' H% y, R2 L7 A3 v2 i
0 l2 C% {% d; I0 j0 i: L, E小白:先说说诞生期吧。
9 {; Z, l+ i5 Q/ S
( P0 ?* R5 t+ j: J* j( l' z# n: c2 u7 N7 p$ J# q, o
大东:诞生期自2001年,灰鸽子诞生之日起,就被反病毒专业人士判定为最具危险性的后门程序,并引发安全领域的高度关注。2004年、2005年、2006年,灰鸽子木马连续三年被国内各大杀毒厂商评选为年度十大病毒,灰鸽子也因此声名大噪,逐步成为媒体以及网民关注的焦点。4 C N6 v% Z. R9 I$ H' C& }
5 V6 H; i9 }+ X
9 b$ w( Q1 a0 t- G& K6 y- B% k
小白:最具危险性的后门程序,听上去很厉害嘛。
Y; i1 `0 O# D; ]6 f& O( z
2 Q0 h1 y/ V* \6 I( ~8 P- ]
3 U. V) H$ l7 `, a) J) S) }: j7 Q大东:模仿时期,灰鸽子最早出现的时候是在模仿“冰河”。它采用Delphi编写,采用了源码共享的方式出现在互联网。虽然“灰鸽子”在当时的名气不及“冰河”,但由于开放源码的方式让“灰鸽子”逐渐增大了传播量。
, ^, ] i1 H7 [7 w( ]& @% U9 ~4 g4 e6 w3 g- i2 ]
: `) \0 M, q w# A4 V! o
小白:这么说来冰河是灰鸽子的“前辈”啦!那冰河也是远程控制软件吗?8 G, S3 H s8 P z& C: x
0 e# C( Z! {9 N; {4 g) D6 X. m& y% c% ]0 g ]
大东:是的。冰河的可怕之处在于自动跟踪目标机屏幕变化,同时可以完全模拟键盘及鼠标输入、记录各种口令信息。还包括获取系统信息,例如计算机名、注册公司、当前用户等多项系统数据。远程关机、远程重启计算机、锁定鼠标及锁定注册表等多项功能限制也是他的拿手强项。+ e9 U7 l# K% e$ u. _
0 N/ c: Q- O1 `5 B! J. n9 X2 Z+ Z% x3 ^) x& n# n- S) m
小白:说远了,该说灰鸽子病毒飞速发展时期了。
3 U4 Q5 I% ?9 A7 f
) a; C6 T0 W, M5 m( Q9 ?/ H# \7 p) W. E9 h F9 I
大东:2004和2005这两年之间,灰鸽子逐步进入了成熟的状态,由于源码的释放,大量变种在互联网中衍生。2004年灰鸽子总共发现了1000多变种,而在2005年,这个数字迅速上升到了3000多。( A4 G: X1 Q, ]6 \$ u, d
( k3 L6 d* q$ G! O9 c$ ^# ]/ f* l1 m0 l p% M8 S: E
小白:变种也太快了吧?!
+ O2 k/ x1 t- H# V: n$ g/ t. h" S2 G( z H1 }
8 c2 o+ |9 W: \# q
大东:“灰鸽子”最大的危害在于潜伏在用户系统中,由于其使用的“反弹端口”原理,一些在局域网(企业网)中的用户也受到了“灰鸽子”的侵害,使得受害用户数大大提高。2004年的感染统计为103483人,而到2005年数字攀升到890321人。“灰鸽子”本身所具备的键盘记录、屏幕捕捉、文件上传下载和运行、摄像头控制等功能,将使用户没任何隐私可言,更可怕的是服务端高度隐藏自己,使受害者无从得知感染此病毒。: p9 E" m1 A# k) k
7 F V) v7 ?! O$ T
+ ~# [, y' K1 v a/ e
小白:令人害怕!$ j3 Y/ h7 E8 \/ c7 [5 p2 z: @
1 X! ~% u( P* [, O; K( o5 h三、灰鸽子病毒清除办法! G) d2 t0 Y$ u$ S/ G/ f3 }* C
3 ?' v! u1 f: ^1 m0 H
+ E& z4 e, l& Q大东: 但是利用一些检测方法就可以将灰鸽子揪出来。通过研究发现,无论自定义的服务器端文件名是什么,一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点,我们可以较为准确手工检测出灰鸽子服务端。- V8 a x; l+ K7 d) j1 H% u8 @
( ^5 z6 r* q1 [+ L; O5 \, W5 u3 b) P. d; L1 r
小白:那是把“_hook.dll”结尾的文件删掉就可以吗?) p. z& ~# C4 q
- X) _' X% t$ A0 r* `- U( m& m B% \" s
大东:当然不是那么简单。由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模式下进行,而且要把Windows设置成显示所有文件。并打开Windows的“搜索文件”,文件名称输入“_hook.dll”,搜索位置选择Windows的安装目录(默认98/xp为C:\windows,2k/NT为C:\Winnt)。经过搜索,在Windows目录(不包含子目录)下发现了一个名为Game_Hook.dll的文件。
! [6 a, X$ b! }; W8 c% I9 g
$ K3 N0 p5 @* A I6 }. `
2 p* B. A' l% s. n小白:这就是灰鸽子文件了吧!. S0 Z8 @, u9 s! @" M0 V8 Y3 H$ h0 V* c
0 y1 x9 ^; T6 S2 J
( g; U' T9 v4 p大东:还不能确定。如果Game_Hook.DLL是灰鸽子的文件,则在操作系统安装目录下还会有Game.exe和Game.dll文件。这才是真正的灰鸽子的服务端,不能“冤枉”好人啊!; z9 Q7 V3 Z+ j
3 L* G9 ~( i' k) X2 R1 n2 B
0 m( C4 w$ [1 x1 p' ^' w
Game.exe和Game.dll。图片来源于网络
( b! Z# `3 }6 \. X5 A, U
) z6 `: f: N' P7 z9 L& ^9 I
# F$ B; i2 r- Y# U小白:原来是在这样。把这几个文件删除就可以和灰鸽子病毒say goodbye了吧!4 K' ] Q1 y3 r
. A, P; u0 d" a4 H
; I) s: {+ i. r大东:总共有两步,这只是其中的一步。首先清除灰鸽子的服务,注意一定要在注册表里完成。清除灰鸽子的服务一定要先备份注册表,或者到纯DOS下将注册表文件更名,然后再去注册表删除灰鸽子的服务。因为病毒会和EXE文件进行关联。4 L. A4 c! L% O7 ]/ D
$ D6 g6 {( W3 n3 T
& O% ]) k. h: ~# m2 ]# c小白:东哥,具体应该怎么做啊?教教我呗。3 n" P/ S& f& z/ c4 i4 F
" x$ }1 b' o% F2 i" D0 y8 U& r) j, N8 ~2 `
大东:第一步打开注册表编辑器(点击“开始”- “运行”,输入“Regedit.exe”,确定。),打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。第二步点击菜单“编辑” “查找”—“查找目标”输入“game.exe”,点击确定,我们就可以找到灰鸽子的服务项(此例为Game_Server,每个人这个服务项名称是不同的)。第三步删除整个Game_Server项。, c, B$ P/ o* N9 }8 y
; M" C/ Q+ ~ f7 ^( {
" d2 t; k6 H% Z. Z7 @
查找game.exe。图片来源于网络
) q3 M5 M X/ s0 {3 ^( H' G9 D8 S( @6 D1 @1 B2 e( q7 x
小白:这其中的第二步是不是就是我刚才说的删除Game.exe和Game.dll。, C- b, _4 z& O Z; R& G
- H q0 ~0 {0 ^8 S1 G
0 C2 M5 h2 R0 A% m0 c# d' N
大东:bingo!你只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件,然后重新启动计算机,就彻底告别灰鸽子病毒了。
; T& F0 r/ Y! i6 ?
! j% N: c' G% l2 d" X四、防范措施
6 ? _% ^6 {7 T2 g6 Z' ~" G* ~% Q, }+ s; ]6 E6 S6 A
小白:东哥,那该如何防范灰鸽子这类病毒呢?' x$ H T) q' }$ W+ x, K
) a# r1 {; T% k# {- N. U/ ?
" |# F1 Q0 b$ [大东:有些办法虽然有些原始,但总是最好用的。比如说给系统安装补丁程序。通过Windows Update安装好系统补丁程序(关键更新、安全更新和Service pack)。
4 P: m' f- T. `- q0 M
, j) l$ B a+ k/ Q' E3 a+ r
# Z+ J8 i2 K* k# q* {4 k, M, Y6 z小白:东哥,我们老说打补丁,补丁的专业解释是什么呀?我们为什么要定期打补丁呢?
0 t# @+ G6 i. H( u
1 I( F) e, q6 w& [' e2 c2 Q t5 e- O( X- z
大东:补丁就是操作系统的不定期错误漏洞修复程序。一般在开发过程中,一开始有很多因素是没有考虑到的,但是随着时间的推移,存在的漏洞问题会慢慢被发现。这时候,为了对系统本身存在的漏洞问题进行修复,系统开发者会发布相应的补丁。黑客如果利用这些漏洞,就可以得到计算机的控制权。
4 M% J+ Y& @3 Q, j6 g( n
, J2 S, ?+ g/ f. T1 b5 c/ o* l/ x. j
小白:东哥,还有类似的“原始”方法吗?# ]! l2 B* b* [0 P& S( q, D
1 W A* U$ w$ ^9 [ i8 [& C# n( y% A- D" K
+ D9 F s0 G' b) h* K
3 O3 S* @+ D5 Z, }; g) m大东:给系统管理员帐户设置足够复杂足够强壮的密码,最好能是10位以上,字母+数字+其它符号的组合;也可以禁用/删除一些不使用的帐户。如果记忆力够好,经常改变密码也是也是个不错的选择。
9 u8 q# Y1 Z; a# \- e3 L6 F
, L6 c) l+ D6 m
4 J2 R. X( J9 H' Y* ]* k R小白:对,比如说我就经常换密码。( ~, {! g9 l: x& k+ v$ a
, r8 G( z9 h9 N) b* g
3 \( [ H- y8 {# s大东:哎,不过你也总是忘记密码。不过单纯地讲,换密码这个习惯还是不错的。( p. e ^3 ]3 s
1 {/ @6 D5 `* v, }4 O1 I5 x/ w$ Y p) [2 b
小白:东哥,你总揭我老底,就不能给我留点面子嘛?
$ V+ q4 Z6 l$ I4 a
. E, d% |1 J- u' E4 a3 N7 y, N, V# V$ ?6 u3 m: e
大东:(装作听不见的样子) 嗯,我们继续说防范的方法。经常更新杀毒软件(病毒库),安装并合理使用网络防火墙软件是十分必要的。网络防火墙在防病毒过程中起到至关重要的作用,能有效地阻挡自来网络的攻击和病毒的入侵。; o' a* ~% w% ?2 ?/ I9 p0 k# D- _
/ n2 g' y& |2 B6 E! J% s
1 C0 n6 ]$ l; j, e小白:东哥,还有吗?
. D6 j2 Y0 O1 d. P/ U. p6 I; ]' P0 M0 Z: O
$ H3 f2 R4 q- b2 X3 ^. f- X
大东:关闭一些不需要的服务,条件允许的话可以关闭没有必要的共享,也包括C$、D$等管理共享。完全单机的用户可直接关闭Server服务。
6 J f3 S) N# g# o# I8 T. A8 N( V8 q( m* ]! A& d& M& h( |+ `3 r
0 [; h; P$ }8 H+ i! {! D+ m小白:懂了。东哥,通过你刚才的讲解,我回忆起来了许多东西。; M; D# }2 F5 Y# N
& ~3 z% I3 H: B' B
+ u8 |# L" n' e4 R x% p% k! b
大东:温故而知新嘛!; w E. Q: p$ C+ k* e
+ {9 x. Y4 S0 Q3 s
: j$ o2 t! h4 o来源:中国科学院计算技术研究所6 F" P* G n$ q3 i
" J' p) b$ A0 W' H( ?9 u: `; L a* o6 B1 P7 l. Z# r) [
温馨提示:近期,微信公众号信息流改版。每个用户可以设置 常读订阅号,这些订阅号将以大卡片的形式展示。因此,如果不想错过“中科院之声”的文章,你一定要进行以下操作:进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」
: Z- F% t; C' ]; x E. h- w
7 j2 X4 a' e. N j8 J$ a
5 Y7 {; Z8 h0 g( F3 W- I3 c- E5 ^* `/ d, {+ C! u3 T* C) j: M. U [
3 s& f: b1 }- w$ U2 L
 - C* D, N# G t7 Z2 A0 S& b+ G
. _3 h" |1 J( m2 B# p% x来源:http://mp.weixin.qq.com/s?src=11×tamp=1574510402&ver=1992&signature=Tvxe-dv0Pli2WOy8jx6-Hw7rnv9HYpasycZdOiA27ix8cPjxnROs0K1kkvdUU-4qOv15U3svsKSNcI-QAj5BtJGG0rX5r4iFdLPgzGOu9EXoWlxVCaXxE1chtktOJjK2&new=1( D. v3 l7 Q) t* ~
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?立即注册
×
|
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-11-23 20:40:29
