一、灰鸽子病毒事件$ n) m) s, F* @0 L+ \+ G
- [' Q) f4 ~. h+ K9 t. Y: k) V
7 A) X+ J) t" }% O7 g6 J
小白:东哥,我最近弄了个新鲜的东西,可以远程控制我家的家电,例如空调,电视,冰箱……" l7 A1 x, v C( Z( g. \
8 m* A/ r4 ]# S' j
$ ?& R' i5 x' [% F0 ~% R( M大东:嗯,这个不错!
$ c$ a% ? J8 G- S
6 P* |5 k6 _4 r# u j
[* o4 N( }6 C/ s2 g5 O! w* a手机远程控制空调。图片来源于网络
4 k5 W5 P7 C9 |3 C/ N w8 A% [: |3 ?+ [7 y
( E4 F* a4 ^0 E* t* s1 Y
小白: 是啊,最便捷的是有手机、有WIFI就可以实现远程控制功能。/ g; ?$ o8 W8 z
# l9 D0 C- Z+ x2 d
( T, E+ w5 P" g大东:等一下,便捷中往往隐藏着“邪恶”,你可要小心灰鸽子病毒啊!/ D4 n( R3 b# b( G) H% ^* U
5 ]4 m! O6 S0 k- L
O q' D6 V3 S# E2 M# t: B小白:灰鸽子病毒?
' U: J9 q3 |% D
' n# @! [& F* I5 k6 [% A$ N: E' ]4 Z$ z2 Y) Q( i, C. N$ L
大东:是的。灰鸽子本身是一款远程控制软件,但是因为恶意使用,又被认为是一个集多种控制方法于一体的木马病毒,一旦用户电脑不幸感染,可以说用户的一举一动都在黑客的监控之下,要窃取账号、密码、照片、重要文件都轻而易举。5 ?& U( E+ y/ x; [
{' G9 V) f3 v" S* x# a
& E1 K8 W" O/ Y
小白:我的天啊,那我的隐私岂不是完全暴露在大家的面前了?!- t. O( K$ J" k$ T
- h2 c8 g' r. d* T; B+ o
+ B+ P$ g/ \5 m6 [, f6 m大东:不仅如此,他们还可以连续捕获远程电脑屏幕,还能监控被控电脑上的摄像头,自动开机(不开显示器)并利用摄像头进行录像。
0 O/ N( W; F, h( O- ?' }: k. }
: ?" y( U3 |8 E! o: r4 N
' W7 r; ]' m: P% f- |- u _) j9 u) c小白:简直是太可怕了!假如我没洗头、没洗脸、穿着邋遢衣服的样子被拍了下来,上传到网上的话……
) T! U: W2 P) k
M4 B- O: j* H
, }, X, G; h5 h1 g
9 t2 W8 _& }5 S, j' I
W7 v6 s3 t) {. c @- K大东:emmmmm……你这个颜值估计上传了也没人看。我们言归正传,继续说灰鸽子的事。随着“灰鸽子2007”的发布,当年仅3月1日至13日,金山毒霸截获的灰鸽子变种数就达到521个。盗号、偷窥、敲诈以及骇人听闻的公开“叫卖”,危害更甚于熊猫烧香。
: W! \' S. V4 J1 \' {# {8 e
! \+ L3 p1 M# D
; {* n) X1 J. f0 ?" k2 O; m小白:这群人简直太可恶了!
4 V# `0 F* [ E5 U' s$ a, @1 f9 h4 U6 c- q9 b M; \4 J4 ?
+ l1 c; c. F4 t7 {大东:而且灰鸽子已不再是一个单纯的病毒,其背后是一条制造病毒、贩卖病毒、病毒培训为一体的黑色产业链,从某种意义上讲,灰鸽子的危害超出熊猫烧香10倍!
% v `# p" G2 ?8 `! t" z1 v 6 D0 E1 H0 N& y) R/ ]5 }0 d7 E7 A! Z+ P
* d# Q, `& J+ G$ \0 s灰鸽子产业链示意图。图片来源于网络 9 K3 J; \' f7 ]9 ^) u: U
( C8 g0 e$ _- Q! A, l( s小白:东哥,那我们就拿灰鸽子一点办法都没有吗?
% A/ z' }; S9 A5 s; x" r9 V( Z
1 f! X# Q) |4 f* p6 }& s& H1 X6 s2 s) m1 v
大东:灰鸽子虽然强大,但它并不是完美无缺的。让我为你解析一下这个难缠的病毒。& v8 ]" M9 S8 }" m8 O" e
/ C4 R5 m! U$ @( r E1 V, X. y3 ^
二、灰鸽子病毒发展史! E: {% X* i& H% X9 X1 ]1 v
, C+ a+ `% ^ J
$ S- |4 G0 o/ H6 z3 I1 m
大东:先来说说灰鸽子病毒的发展史吧。
* n: L+ E5 ?7 k* e* b T6 Y/ c' s T3 N4 }
8 \+ E3 j: j2 |6 `5 o, F
小白:好呀,我最喜欢听历史了。
. ^6 N4 W6 H4 F. ?
: t i; d" l# a' U
! L9 _& z8 A) R大东:灰鸽子病毒发展分三个时期:诞生期、模仿期、飞速发展期。
9 Z! C3 {# Y+ V- T
3 A* X7 j6 {, U) X& P" \. M
: J& Y) b* d. H; h# e小白:先说说诞生期吧。, k! n) f/ E c8 @4 @3 z$ m
$ Q1 k1 c" s! k2 E$ `5 U
9 W8 X2 R j B1 v: w大东:诞生期自2001年,灰鸽子诞生之日起,就被反病毒专业人士判定为最具危险性的后门程序,并引发安全领域的高度关注。2004年、2005年、2006年,灰鸽子木马连续三年被国内各大杀毒厂商评选为年度十大病毒,灰鸽子也因此声名大噪,逐步成为媒体以及网民关注的焦点。
$ C" K- ^9 W" e( Q6 C- K
L# G/ R1 j( W9 G, \* M- S3 |
3 L, G {/ S" [1 K( r% ^小白:最具危险性的后门程序,听上去很厉害嘛。. A* c3 m9 K$ ?/ B" ~* Z
: U* {5 S! i0 ~/ L6 `. ?. ~& t& r6 |
大东:模仿时期,灰鸽子最早出现的时候是在模仿“冰河”。它采用Delphi编写,采用了源码共享的方式出现在互联网。虽然“灰鸽子”在当时的名气不及“冰河”,但由于开放源码的方式让“灰鸽子”逐渐增大了传播量。) y2 g4 V- B. C( j
\ s9 U! q! V- ?* Y; o9 v9 U
~" N. [. R+ [" W小白:这么说来冰河是灰鸽子的“前辈”啦!那冰河也是远程控制软件吗?" G6 I7 y: n G6 R" \
/ j3 S2 \! x( G$ g, D. Y
& e+ _" V' _8 I/ ^+ J3 X# Q! ]4 c大东:是的。冰河的可怕之处在于自动跟踪目标机屏幕变化,同时可以完全模拟键盘及鼠标输入、记录各种口令信息。还包括获取系统信息,例如计算机名、注册公司、当前用户等多项系统数据。远程关机、远程重启计算机、锁定鼠标及锁定注册表等多项功能限制也是他的拿手强项。
d) Y& V1 |0 p* {, o3 d# l* X8 j' c9 w# \2 t, g2 B
) W/ T! Q& V* r$ g小白:说远了,该说灰鸽子病毒飞速发展时期了。
6 {, X: a4 i0 v1 t$ e! h) X7 ~5 E2 O$ S& |/ z9 x4 x4 a. C/ p6 j
2 D: @" d8 W# z3 ^5 c* t
大东:2004和2005这两年之间,灰鸽子逐步进入了成熟的状态,由于源码的释放,大量变种在互联网中衍生。2004年灰鸽子总共发现了1000多变种,而在2005年,这个数字迅速上升到了3000多。; Y+ ~/ ]' U, j( i+ x% t0 ? G' X
3 D$ \4 A7 b# H! t! ^! c
2 {" n# a3 k+ X9 |' J小白:变种也太快了吧?!+ {- O h' t& J' C
9 b& D7 c* }, ?/ {5 ^$ V B. G4 x
( Z6 @- D$ v! Y4 l! [; J
大东:“灰鸽子”最大的危害在于潜伏在用户系统中,由于其使用的“反弹端口”原理,一些在局域网(企业网)中的用户也受到了“灰鸽子”的侵害,使得受害用户数大大提高。2004年的感染统计为103483人,而到2005年数字攀升到890321人。“灰鸽子”本身所具备的键盘记录、屏幕捕捉、文件上传下载和运行、摄像头控制等功能,将使用户没任何隐私可言,更可怕的是服务端高度隐藏自己,使受害者无从得知感染此病毒。
5 ^+ m9 w. }0 [" F8 u( n6 }& \% x
' I8 u! j) x# ?' \8 j
小白:令人害怕!2 T; z3 I3 n! `
. R5 [8 `& ^1 ]3 Q三、灰鸽子病毒清除办法' D" s- S' S I& {' e3 D% b
# Y" [9 x$ h& F, i: F G+ A
/ j9 r, u f4 _9 G; ~" |% g7 O
大东: 但是利用一些检测方法就可以将灰鸽子揪出来。通过研究发现,无论自定义的服务器端文件名是什么,一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点,我们可以较为准确手工检测出灰鸽子服务端。
. o. Y4 A6 d M% g
5 I# v! H% Z. R3 x0 d; e( R8 o9 @/ @1 ? R; x2 H
小白:那是把“_hook.dll”结尾的文件删掉就可以吗?9 Z. v4 D2 P$ R7 C/ o
9 O+ ]6 X, R8 ?' g! |
( I- q Q3 Y# C
大东:当然不是那么简单。由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模式下进行,而且要把Windows设置成显示所有文件。并打开Windows的“搜索文件”,文件名称输入“_hook.dll”,搜索位置选择Windows的安装目录(默认98/xp为C:\windows,2k/NT为C:\Winnt)。经过搜索,在Windows目录(不包含子目录)下发现了一个名为Game_Hook.dll的文件。
# z+ S+ x1 Y1 A' L. h: U9 y0 N' w# ^. s: b9 b
, J. O, z r$ ]0 {/ K+ C, P& p小白:这就是灰鸽子文件了吧!: c5 ~/ [8 j' h7 ?8 d
/ g, E+ e" E. i4 {
b' T6 o- B7 y: W大东:还不能确定。如果Game_Hook.DLL是灰鸽子的文件,则在操作系统安装目录下还会有Game.exe和Game.dll文件。这才是真正的灰鸽子的服务端,不能“冤枉”好人啊!9 g8 ?2 ~' d0 p
1 f# n( O# F5 w3 C. X) |
* @4 [8 H# f; C0 \
Game.exe和Game.dll。图片来源于网络
) P% |* t8 {9 L3 d0 S- R; [4 d0 A h0 ^5 E) C+ I5 n* e
' x: L/ H; k& { c) m* t
小白:原来是在这样。把这几个文件删除就可以和灰鸽子病毒say goodbye了吧!
D, S. H8 C, J6 h: d1 N& Q W/ }$ a/ K d0 N/ ^ i6 ]
5 T, }# R- z: k
大东:总共有两步,这只是其中的一步。首先清除灰鸽子的服务,注意一定要在注册表里完成。清除灰鸽子的服务一定要先备份注册表,或者到纯DOS下将注册表文件更名,然后再去注册表删除灰鸽子的服务。因为病毒会和EXE文件进行关联。
) K9 c. m1 r) V- W- ^: V& j- d8 A8 y7 b3 Y* I
- M3 R" N2 ~3 W! T8 ^) \5 U- Z6 m
小白:东哥,具体应该怎么做啊?教教我呗。
; J: f2 S# ~' l2 h/ D
% ?: ^( |2 B$ J& @) U$ f
( {* V/ L$ Z9 k5 ^大东:第一步打开注册表编辑器(点击“开始”- “运行”,输入“Regedit.exe”,确定。),打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。第二步点击菜单“编辑” “查找”—“查找目标”输入“game.exe”,点击确定,我们就可以找到灰鸽子的服务项(此例为Game_Server,每个人这个服务项名称是不同的)。第三步删除整个Game_Server项。; o3 T+ g4 A7 p' Q
: }) k4 o' S- X" G6 F6 V8 P
/ l* ~% X4 b& C) E查找game.exe。图片来源于网络 # w) p% r$ w, c" J+ m' y" c1 I
5 d0 ^: \4 D, {, I* X7 V
小白:这其中的第二步是不是就是我刚才说的删除Game.exe和Game.dll。5 ? O& e: _; n
7 i3 u2 r! p7 e: N4 | \0 Z' C+ i) l& w m) M& X
大东:bingo!你只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件,然后重新启动计算机,就彻底告别灰鸽子病毒了。5 t, }0 p8 o* z7 ], ~1 ?, z9 J
+ b- C3 |8 R! k四、防范措施
. `3 `6 Q& O' P7 U% i+ Z$ T5 M) O! v
小白:东哥,那该如何防范灰鸽子这类病毒呢?2 W0 B0 @$ [1 s# C; J
5 l) f7 z9 L d7 g# I+ r: a
3 g0 o( i9 U" O. Z大东:有些办法虽然有些原始,但总是最好用的。比如说给系统安装补丁程序。通过Windows Update安装好系统补丁程序(关键更新、安全更新和Service pack)。+ K6 [3 ?4 x8 Z" B" X N
- J! t( B& G2 j( z& |5 I0 a1 |
小白:东哥,我们老说打补丁,补丁的专业解释是什么呀?我们为什么要定期打补丁呢?( T) K( x6 M6 P$ e
+ } U) r% U: p& \5 B, c, T
3 K. x7 B% B$ h* F大东:补丁就是操作系统的不定期错误漏洞修复程序。一般在开发过程中,一开始有很多因素是没有考虑到的,但是随着时间的推移,存在的漏洞问题会慢慢被发现。这时候,为了对系统本身存在的漏洞问题进行修复,系统开发者会发布相应的补丁。黑客如果利用这些漏洞,就可以得到计算机的控制权。
( |( k8 s/ g H! L
4 D/ M6 f9 y& R: `) z3 d9 l& m& Q- |/ C2 k: p! o; t
小白:东哥,还有类似的“原始”方法吗?
6 p1 C" ^# r. d4 g4 {
: C" f5 d* y7 U9 b0 l3 u0 u) R
5 r1 P! e. D7 i$ r6 w1 E1 C. ^0 z' Y4 W4 ^$ }3 t5 ?9 a
$ S3 \0 b* h0 b大东:给系统管理员帐户设置足够复杂足够强壮的密码,最好能是10位以上,字母+数字+其它符号的组合;也可以禁用/删除一些不使用的帐户。如果记忆力够好,经常改变密码也是也是个不错的选择。
4 S( l# U8 \8 b# b
- f. W8 l2 w/ }7 B/ Y& ?+ B6 h8 e& [3 t, P/ K5 y" c! `' w' Y8 o
小白:对,比如说我就经常换密码。5 z5 `+ E# Y: O& C
; j1 ?7 m Z6 e; n e r) [- ^
3 O6 _1 j! F5 B ~6 a2 z大东:哎,不过你也总是忘记密码。不过单纯地讲,换密码这个习惯还是不错的。 o. y: p5 H# T G6 s- A% U
; T; A% }7 `' v) }
% t+ i+ E, v+ D- I" u4 W小白:东哥,你总揭我老底,就不能给我留点面子嘛?
8 }- F7 p* ~1 v. S7 q1 E
& u& B0 P4 q6 Y/ Q0 `
! ^4 w4 F- \2 o2 @* ]大东:(装作听不见的样子) 嗯,我们继续说防范的方法。经常更新杀毒软件(病毒库),安装并合理使用网络防火墙软件是十分必要的。网络防火墙在防病毒过程中起到至关重要的作用,能有效地阻挡自来网络的攻击和病毒的入侵。0 G# K1 N/ k. f* r4 u3 p
4 C2 T0 v3 b! B6 r' L z$ f
8 q/ K* ^) A$ A
小白:东哥,还有吗?& d4 B/ v2 p, Q2 m3 O
* Z& L6 q6 {- ?* o& ]
& [1 w# b4 I4 c2 p2 x大东:关闭一些不需要的服务,条件允许的话可以关闭没有必要的共享,也包括C$、D$等管理共享。完全单机的用户可直接关闭Server服务。
1 b3 X9 e0 Y; X: m. ]# g% C
+ I; Q+ U c( Y. e O' h* e
: j" n1 M, l z3 G9 \+ V+ k小白:懂了。东哥,通过你刚才的讲解,我回忆起来了许多东西。
! ]/ F. x# F$ Y0 K
+ K4 y p! l; ?) f5 [5 q+ H" L3 R! c. ]: N
大东:温故而知新嘛!; K6 B1 ^& x e6 Q7 N
) \7 j% z3 D' x+ A0 m0 r
: u: T. k' E2 t* B, Q2 s; r来源:中国科学院计算技术研究所7 _; _* U7 d6 l! k
+ g( \. u' C3 C# I6 Y6 L
! n/ ]- U+ G1 e9 s% ^% Z' C温馨提示:近期,微信公众号信息流改版。每个用户可以设置 常读订阅号,这些订阅号将以大卡片的形式展示。因此,如果不想错过“中科院之声”的文章,你一定要进行以下操作:进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」/ W4 _! Z2 \7 L( |1 j
/ L+ `( _! \' s9 R3 S$ |0 }2 Q; p* b" G6 q9 ]2 m: J( o! x8 Z/ O2 i
7 e7 A8 Y$ g& g$ P: e. u: Z
Q' w- m$ s6 i, q
8 `; t7 Y2 u2 s4 O9 O! S0 B5 J9 m1 X
来源:http://mp.weixin.qq.com/s?src=11×tamp=1574510402&ver=1992&signature=Tvxe-dv0Pli2WOy8jx6-Hw7rnv9HYpasycZdOiA27ix8cPjxnROs0K1kkvdUU-4qOv15U3svsKSNcI-QAj5BtJGG0rX5r4iFdLPgzGOu9EXoWlxVCaXxE1chtktOJjK2&new=1 M j' r H" f; t: A, v% Q' N3 _8 z
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-11-23 20:40:29
