|
|
一、灰鸽子病毒事件# U/ C$ v" _& w7 a# c2 _
$ f' [) k# p7 m) o: s
: B: L+ b6 h7 g2 c6 E _; }小白:东哥,我最近弄了个新鲜的东西,可以远程控制我家的家电,例如空调,电视,冰箱……% u! J$ A0 `# [8 {0 N
6 Y, E0 F( x9 Q2 o; L+ D
, v+ o/ Q! L2 u: i& x1 f: Y3 h& }大东:嗯,这个不错!
7 n( g8 K, C% q" K" E6 v/ U
* D+ l$ y& y1 x' g9 C; K7 ?
$ Z, C% k. P. h# R: z2 m手机远程控制空调。图片来源于网络 1 A' O( _; X' b
. b3 W+ B9 E8 A/ l, k
: q' z" L( U0 d# r0 ?3 P
小白: 是啊,最便捷的是有手机、有WIFI就可以实现远程控制功能。2 Z7 R8 i" u! s& }1 r; _
% S2 P2 U/ D7 _) z- F: K0 `
* B" x2 S5 k9 J( O" [; S6 z
大东:等一下,便捷中往往隐藏着“邪恶”,你可要小心灰鸽子病毒啊!
L$ |# R a$ \$ F! G5 Y( `
9 R$ O7 p0 z7 b5 A* @; m, `" w8 U5 g+ H( o j
小白:灰鸽子病毒?4 B5 K5 H) Y% p. d+ W
; X$ Z- @/ H9 I2 m* o; h8 e5 b& w S) V% D& I( z* v, Z: G3 ?
大东:是的。灰鸽子本身是一款远程控制软件,但是因为恶意使用,又被认为是一个集多种控制方法于一体的木马病毒,一旦用户电脑不幸感染,可以说用户的一举一动都在黑客的监控之下,要窃取账号、密码、照片、重要文件都轻而易举。
2 Z' F+ r) D8 \! h s2 x1 y$ A/ U0 R6 G& D& a+ @
/ p, A1 q; j# h2 F" s9 t8 R5 X& \小白:我的天啊,那我的隐私岂不是完全暴露在大家的面前了?!8 V, l1 S7 k9 f2 j
! b" Z( T0 c2 v6 y2 t X7 C5 ^) y
大东:不仅如此,他们还可以连续捕获远程电脑屏幕,还能监控被控电脑上的摄像头,自动开机(不开显示器)并利用摄像头进行录像。
$ c. G9 {' A# T/ F
/ I: ^1 ]% I2 A$ ^# |
4 w. k# ?4 T, c小白:简直是太可怕了!假如我没洗头、没洗脸、穿着邋遢衣服的样子被拍了下来,上传到网上的话…… W# A: e( d0 t, D$ p+ @+ Y
" m2 \/ h) f2 @9 h @$ a c: }
x$ i1 B4 }. |* J
; D% u9 m. j: _; H* N( h
大东:emmmmm……你这个颜值估计上传了也没人看。我们言归正传,继续说灰鸽子的事。随着“灰鸽子2007”的发布,当年仅3月1日至13日,金山毒霸截获的灰鸽子变种数就达到521个。盗号、偷窥、敲诈以及骇人听闻的公开“叫卖”,危害更甚于熊猫烧香。
+ G) L- r( Q0 N S* v* w. d6 a+ a' L6 @4 b
; \6 `" Z! g. G) |1 a* p
小白:这群人简直太可恶了!/ v% n- _ K4 A
, I& T6 j q0 \! J2 P' L3 u
" x4 C. s* @3 b% z大东:而且灰鸽子已不再是一个单纯的病毒,其背后是一条制造病毒、贩卖病毒、病毒培训为一体的黑色产业链,从某种意义上讲,灰鸽子的危害超出熊猫烧香10倍! 6 \# h/ Y4 H" w% g9 k% M P
' v7 Y+ |, }0 T2 K6 Z5 n# M
5 X/ l3 J1 S7 w* b灰鸽子产业链示意图。图片来源于网络
2 L6 @8 Q) I$ N, m& k8 {! q, ]' e
4 ?- e; ]2 g- l小白:东哥,那我们就拿灰鸽子一点办法都没有吗?
4 m! {$ Y& Y" r1 U# I; ^8 r# y4 T) u7 v2 y7 K% V& M, Z
) n# ? Q) C# _9 F! k
大东:灰鸽子虽然强大,但它并不是完美无缺的。让我为你解析一下这个难缠的病毒。
- [- k( i+ @- Q3 E# j
, I. e+ j2 k' c' \2 a8 n二、灰鸽子病毒发展史
/ N& l4 W! r- }& Q& f' g V+ j2 f9 C2 H
' n- s4 N& h0 D9 Q
大东:先来说说灰鸽子病毒的发展史吧。
( L- r& p5 {" @' c
4 M4 f7 ], g; w- V$ y2 H* y
& R: J4 o) t6 |" _7 r* H小白:好呀,我最喜欢听历史了。
' n/ C+ b: o% m2 ^- O6 H1 M6 K
& K+ x4 s* r" B; z1 A# `
9 q) p2 _ Y- v! Z4 f大东:灰鸽子病毒发展分三个时期:诞生期、模仿期、飞速发展期。( I8 d/ X4 p5 I6 q
, ^; b6 I% a: q" n
4 C+ f# F8 u9 X/ U: I小白:先说说诞生期吧。" I, e0 y( G& E' H
7 V+ I+ l$ @$ f+ i" T
& i# y- I2 L$ i! M: G! i7 _大东:诞生期自2001年,灰鸽子诞生之日起,就被反病毒专业人士判定为最具危险性的后门程序,并引发安全领域的高度关注。2004年、2005年、2006年,灰鸽子木马连续三年被国内各大杀毒厂商评选为年度十大病毒,灰鸽子也因此声名大噪,逐步成为媒体以及网民关注的焦点。3 X, ^4 `8 e: t3 g5 V
4 i" T/ P% ~' y& b* F& u- Z
2 }' N; _- U. H: C, R5 o% K
小白:最具危险性的后门程序,听上去很厉害嘛。( w' ? G% x& S5 ^/ q
7 z7 S/ g+ `8 @0 z% p- x7 r8 J/ I5 G4 }1 q) C |
大东:模仿时期,灰鸽子最早出现的时候是在模仿“冰河”。它采用Delphi编写,采用了源码共享的方式出现在互联网。虽然“灰鸽子”在当时的名气不及“冰河”,但由于开放源码的方式让“灰鸽子”逐渐增大了传播量。
# q" Q. d6 N7 W6 D
. z1 M( n5 M, g$ W* E" J& b" C0 }* o! _! @1 u
小白:这么说来冰河是灰鸽子的“前辈”啦!那冰河也是远程控制软件吗?
8 X9 d% Y+ ]' Y( X% ?, C, Q1 B
& \9 g1 n y' E; v# B9 ~- h: D: B( [% n" P* N( z7 Y
大东:是的。冰河的可怕之处在于自动跟踪目标机屏幕变化,同时可以完全模拟键盘及鼠标输入、记录各种口令信息。还包括获取系统信息,例如计算机名、注册公司、当前用户等多项系统数据。远程关机、远程重启计算机、锁定鼠标及锁定注册表等多项功能限制也是他的拿手强项。
* k+ L k6 s: [- u$ ?/ m) P2 R7 J) ^* _' W1 Q1 j" s2 d
9 V# V- D6 {* q, j% T
小白:说远了,该说灰鸽子病毒飞速发展时期了。7 H8 s$ Q: x+ w- |4 ~9 _1 p
3 ` y7 i' k2 t# J" K
" A8 ~! I: T5 i; s$ x
大东:2004和2005这两年之间,灰鸽子逐步进入了成熟的状态,由于源码的释放,大量变种在互联网中衍生。2004年灰鸽子总共发现了1000多变种,而在2005年,这个数字迅速上升到了3000多。
/ Z4 }, r& q! T, c0 y6 u# G0 }$ T( o1 K7 e
' \) ~; l5 _/ ?/ }/ o* T
小白:变种也太快了吧?!
2 q/ x E; s0 Q) ]6 D, C' w- A% C) b0 n
2 o4 w% [) s; E% Q) J
大东:“灰鸽子”最大的危害在于潜伏在用户系统中,由于其使用的“反弹端口”原理,一些在局域网(企业网)中的用户也受到了“灰鸽子”的侵害,使得受害用户数大大提高。2004年的感染统计为103483人,而到2005年数字攀升到890321人。“灰鸽子”本身所具备的键盘记录、屏幕捕捉、文件上传下载和运行、摄像头控制等功能,将使用户没任何隐私可言,更可怕的是服务端高度隐藏自己,使受害者无从得知感染此病毒。1 I! w$ _) K# M" g6 q
' {9 K G6 g/ l. `: U8 {
# A; N- z* A# l" G( ^' I小白:令人害怕!9 z& [0 J# y; a: O ~! O( d0 V
% Y7 C+ T) Q3 _' Y; a* R0 ^+ b三、灰鸽子病毒清除办法& C* ]; f$ b! G+ t6 P: `
& ~- I( B: k- _8 w3 f4 y# T! q7 K" {: i$ k( e0 p F& Z. a$ h
大东: 但是利用一些检测方法就可以将灰鸽子揪出来。通过研究发现,无论自定义的服务器端文件名是什么,一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点,我们可以较为准确手工检测出灰鸽子服务端。. g7 b( P( q8 z9 E
4 A6 q4 F0 r1 R0 J: e: D# m, B! o% u2 M9 ^
小白:那是把“_hook.dll”结尾的文件删掉就可以吗?6 _8 C3 ?( K# |9 e. m
- W X5 R" T1 r% O
3 q; S3 c5 h" s; t大东:当然不是那么简单。由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模式下进行,而且要把Windows设置成显示所有文件。并打开Windows的“搜索文件”,文件名称输入“_hook.dll”,搜索位置选择Windows的安装目录(默认98/xp为C:\windows,2k/NT为C:\Winnt)。经过搜索,在Windows目录(不包含子目录)下发现了一个名为Game_Hook.dll的文件。
2 f: X8 C6 ~! o
4 }& }3 ~& A3 _- J" F
, a1 R& N! U" n3 r小白:这就是灰鸽子文件了吧!
6 e6 u, |2 {6 v5 ?- m" X' a' j# l, w9 ~! C6 Z7 {
6 E, j/ a6 r$ }" ^
大东:还不能确定。如果Game_Hook.DLL是灰鸽子的文件,则在操作系统安装目录下还会有Game.exe和Game.dll文件。这才是真正的灰鸽子的服务端,不能“冤枉”好人啊!+ s; Z; `8 d% [; s3 V, o
. K+ Y8 l# l0 E5 ?7 m r2 H1 y1 B$ Q
Game.exe和Game.dll。图片来源于网络
J! n- a- _* b/ O/ l$ ^5 S
6 p+ E0 N/ v x s: \1 _" Q5 Z1 }& A# A" J% u+ E
小白:原来是在这样。把这几个文件删除就可以和灰鸽子病毒say goodbye了吧!
3 \1 p0 T) }2 W1 f" f; U+ F5 A2 o7 S Q ^) y. A" Y
; m9 m( E/ Z: _
大东:总共有两步,这只是其中的一步。首先清除灰鸽子的服务,注意一定要在注册表里完成。清除灰鸽子的服务一定要先备份注册表,或者到纯DOS下将注册表文件更名,然后再去注册表删除灰鸽子的服务。因为病毒会和EXE文件进行关联。5 c; ^5 R) c: |5 F
& o7 ^3 m s9 T7 b/ Z- _) L) ~8 [! z: w( K7 r
小白:东哥,具体应该怎么做啊?教教我呗。
7 t- g4 t, [" |+ u4 P1 p; |4 B0 j2 N1 N8 I f1 \ D
3 u4 S" H$ m/ r7 H大东:第一步打开注册表编辑器(点击“开始”- “运行”,输入“Regedit.exe”,确定。),打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。第二步点击菜单“编辑” “查找”—“查找目标”输入“game.exe”,点击确定,我们就可以找到灰鸽子的服务项(此例为Game_Server,每个人这个服务项名称是不同的)。第三步删除整个Game_Server项。( v) k+ K5 M, q7 ?+ @* f* s3 G/ Z
% K3 n5 K& ` I6 m0 g' A$ ]9 W0 l- O6 C, P U
查找game.exe。图片来源于网络
. _/ |, `4 L% k5 m; \! c$ D
3 N' _& |' z- j E8 {" G小白:这其中的第二步是不是就是我刚才说的删除Game.exe和Game.dll。
' Y. D! W# Q2 c7 j% d6 b% y$ r- i8 }* b& K
8 J2 n& j: [5 j4 y% C9 e- D2 g
/ W6 i) V1 q) i) \5 U" V大东:bingo!你只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件,然后重新启动计算机,就彻底告别灰鸽子病毒了。& @3 ~" s0 d, ~2 U4 K
) B+ e6 i; p5 g6 K$ V( k
四、防范措施8 d1 `8 i5 A$ G
& b: p; V6 K( k/ _; ?" C
小白:东哥,那该如何防范灰鸽子这类病毒呢?, Q6 T, ], g/ }9 J& Y( B
1 u# z# _% V" w) d
! f7 b# v9 f, d& ~& t大东:有些办法虽然有些原始,但总是最好用的。比如说给系统安装补丁程序。通过Windows Update安装好系统补丁程序(关键更新、安全更新和Service pack)。
- Y+ M, D6 B5 T) c# S! z
. z# C3 ?8 i* \8 ~) a5 c8 C- R) x8 a( g m, z6 t! V/ g
小白:东哥,我们老说打补丁,补丁的专业解释是什么呀?我们为什么要定期打补丁呢?6 ~( F8 ^8 u( _1 K5 N
5 b7 s2 P- y" c2 @7 D& k: j$ X) v0 R7 C s
大东:补丁就是操作系统的不定期错误漏洞修复程序。一般在开发过程中,一开始有很多因素是没有考虑到的,但是随着时间的推移,存在的漏洞问题会慢慢被发现。这时候,为了对系统本身存在的漏洞问题进行修复,系统开发者会发布相应的补丁。黑客如果利用这些漏洞,就可以得到计算机的控制权。8 b6 `, }/ P6 C/ b
) z* J; x9 C; Q) I# x) f4 k! h
- b% }* i' r' c小白:东哥,还有类似的“原始”方法吗?! z8 Q" K: n3 R; k
- v' U8 M- o" I' I m1 ~: l! `
& m# X4 `% _+ r5 U6 N
* H, e% X: ~" g
7 }. x( o/ Q) ~8 r' i+ \$ c大东:给系统管理员帐户设置足够复杂足够强壮的密码,最好能是10位以上,字母+数字+其它符号的组合;也可以禁用/删除一些不使用的帐户。如果记忆力够好,经常改变密码也是也是个不错的选择。
( v6 y j; G l2 _- ^* K/ p; x& ~
, `" l8 L* ]8 h! G/ K8 c小白:对,比如说我就经常换密码。# o( F) B& O( \+ r) f8 w5 H% K; O
) u' K4 b) q+ t6 Z6 w% f: o% S# F# ^; F6 x0 ]9 Z* c
大东:哎,不过你也总是忘记密码。不过单纯地讲,换密码这个习惯还是不错的。* } z8 V' o: V- e/ N5 K! ^; U
& m) u9 p8 s u9 H! F I
4 R* }$ V! H4 M小白:东哥,你总揭我老底,就不能给我留点面子嘛?* J' v/ O+ h$ R! }: _; t. b2 m
" c- g/ w# |. v- l- r* ]/ t1 o; ]/ H/ U5 m1 T4 w
大东:(装作听不见的样子) 嗯,我们继续说防范的方法。经常更新杀毒软件(病毒库),安装并合理使用网络防火墙软件是十分必要的。网络防火墙在防病毒过程中起到至关重要的作用,能有效地阻挡自来网络的攻击和病毒的入侵。
* [' I: g) L: l) E$ t
+ o! \' Z( o. O' f: K \% C
. `" J$ H' ?' f小白:东哥,还有吗?; T/ _5 N3 H+ d( W/ L
9 S: ^$ C# ~6 k1 k& u1 S8 v- |+ |7 i
大东:关闭一些不需要的服务,条件允许的话可以关闭没有必要的共享,也包括C$、D$等管理共享。完全单机的用户可直接关闭Server服务。9 z/ ]6 \6 V# A) I' a/ D
4 _3 F( F, H' z& M5 q% @1 ^( l5 ] P' a
小白:懂了。东哥,通过你刚才的讲解,我回忆起来了许多东西。
' s$ E! k! f8 L. R) A
3 w1 o! m7 M! q$ ~3 Z2 W, }- y' h0 y
大东:温故而知新嘛!" k6 R+ _) O: e# a$ Z1 \! u
' S0 O- H% k. `) K# N
9 x) c& z/ F, U) O- z9 }来源:中国科学院计算技术研究所; H; @3 S. k7 m" L/ D
5 b6 g" Q5 h- q5 D% q8 r/ b
. T4 P: a: u; r" ~! X9 Q# P% ^% {温馨提示:近期,微信公众号信息流改版。每个用户可以设置 常读订阅号,这些订阅号将以大卡片的形式展示。因此,如果不想错过“中科院之声”的文章,你一定要进行以下操作:进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」
0 I. h6 `) a C/ X- J" k5 j9 J1 Y5 g
, J$ D! E9 w+ Y8 {- ~/ g3 j+ }1 O5 v
% Y/ e: b$ q- {" H' R) M) g. V! H$ J1 F0 ] |/ U$ B
& a0 ]5 i# G$ n% u$ F! P, t# p. p. H/ O6 }& ~- a6 |% r
来源:http://mp.weixin.qq.com/s?src=11×tamp=1574510402&ver=1992&signature=Tvxe-dv0Pli2WOy8jx6-Hw7rnv9HYpasycZdOiA27ix8cPjxnROs0K1kkvdUU-4qOv15U3svsKSNcI-QAj5BtJGG0rX5r4iFdLPgzGOu9EXoWlxVCaXxE1chtktOJjK2&new=1; z% {. [! E+ g$ D% ]% |0 K
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?立即注册
×
|
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-11-23 20:40:29
