一、灰鸽子病毒事件
9 S Y1 v; B; f, \8 c
7 i4 g5 F; l7 s# X& V( Z& v% U# W& R: b. S1 d3 Q U0 m. A/ n
小白:东哥,我最近弄了个新鲜的东西,可以远程控制我家的家电,例如空调,电视,冰箱……4 G+ Z- q" g" ]; f5 D6 g
3 ^1 }. A" U6 t% C4 ]
# R9 C! {9 {! A3 Q9 f' s
大东:嗯,这个不错!
# W0 ^, G; R* |! }
a. w/ \5 V+ r6 o- q# m! C9 f7 E# ?& Y3 u
手机远程控制空调。图片来源于网络
7 T* b- q! W2 Y9 R$ G0 q
; `7 v O, O3 M' ]5 c6 j2 c9 ^- w* v
小白: 是啊,最便捷的是有手机、有WIFI就可以实现远程控制功能。& ]6 T A7 E0 A
) g5 r4 b" ~4 [+ g
4 E0 X. j6 y0 h+ c# |+ A$ ~, g
大东:等一下,便捷中往往隐藏着“邪恶”,你可要小心灰鸽子病毒啊!2 |: ]$ G8 K _6 V1 [; s2 K
+ O& b8 J0 ~1 d% x- F
, @. \' f2 J8 y# H) I+ z
小白:灰鸽子病毒?
0 s+ N& z* o/ n. `& k2 n/ q2 U9 A
& @% d$ J, q( U. ]+ ]( M [. u* [& G7 y
大东:是的。灰鸽子本身是一款远程控制软件,但是因为恶意使用,又被认为是一个集多种控制方法于一体的木马病毒,一旦用户电脑不幸感染,可以说用户的一举一动都在黑客的监控之下,要窃取账号、密码、照片、重要文件都轻而易举。$ o$ v! H% _: i# Z! I
' z& Q/ J7 U/ N9 Y/ a1 F3 R
& G' S% `: Y9 N4 O: D! h8 M9 t! S
小白:我的天啊,那我的隐私岂不是完全暴露在大家的面前了?!0 g. h5 }, l! E7 G
' H# p1 _3 j' Q2 d% l
9 W" v: U1 ^! X j大东:不仅如此,他们还可以连续捕获远程电脑屏幕,还能监控被控电脑上的摄像头,自动开机(不开显示器)并利用摄像头进行录像。( Y! A( ]- M5 Z7 V- e
" [- R; C: E' S8 W* o) o8 f0 ^# t% m
* I4 W; i# N7 }6 \
小白:简直是太可怕了!假如我没洗头、没洗脸、穿着邋遢衣服的样子被拍了下来,上传到网上的话……
' m% g S% e3 I2 M
! V8 Y' I6 A1 H, n# s$ c2 T
+ ]/ _- Z' A8 H: O# g
3 W7 h$ C# V$ x8 j" U7 P
~! L+ ~* B& X$ F大东:emmmmm……你这个颜值估计上传了也没人看。我们言归正传,继续说灰鸽子的事。随着“灰鸽子2007”的发布,当年仅3月1日至13日,金山毒霸截获的灰鸽子变种数就达到521个。盗号、偷窥、敲诈以及骇人听闻的公开“叫卖”,危害更甚于熊猫烧香。
6 b) E( `& `% l" q* I1 R9 \" V
8 R- t( E O9 Z; k ^4 i/ ?4 C6 t A! O* k5 Q6 i$ h
小白:这群人简直太可恶了!
8 M7 k) _& J9 V7 j; E3 V8 F' N* |5 V0 R) R6 b' }4 k
( E1 H a( V) u
大东:而且灰鸽子已不再是一个单纯的病毒,其背后是一条制造病毒、贩卖病毒、病毒培训为一体的黑色产业链,从某种意义上讲,灰鸽子的危害超出熊猫烧香10倍!
/ [+ n) p( W: Z* J , I6 V/ O7 Z2 A" r6 y+ m
# \/ W D, g w _5 ^# j
灰鸽子产业链示意图。图片来源于网络
; c% E9 J9 Z; i; z& X6 ?3 |6 @/ c0 s5 i2 o0 [7 X
小白:东哥,那我们就拿灰鸽子一点办法都没有吗?
8 F" j2 `5 z2 m8 L/ P
( H7 H1 F8 _; j9 {2 \: T! R; U. G4 M3 Y6 Y: ^) T$ [
大东:灰鸽子虽然强大,但它并不是完美无缺的。让我为你解析一下这个难缠的病毒。6 q% D2 ]- \, D$ ]9 X
9 W% q6 p: i0 n {二、灰鸽子病毒发展史
5 R9 ^, c' O/ n) c4 b4 E8 K# A7 d; ?& V" u, `+ G+ Q8 @
! z, V: i; s& n7 Y% m- s! \, J大东:先来说说灰鸽子病毒的发展史吧。
+ U* }: K& s' I6 c1 d0 z9 [! M/ y2 d- m1 S( x8 a
' @' }, B2 D% V% ~' ~* d小白:好呀,我最喜欢听历史了。' `2 b8 v, L! d" k$ k6 G
) g, G& F; z/ Z6 L, ?3 }' y8 d3 _2 i
$ X; E+ k- k' [, U' Q( M- p
大东:灰鸽子病毒发展分三个时期:诞生期、模仿期、飞速发展期。
* M, g' P3 x T; C+ }( o) K* p" A' ^* R. y1 g
" x" |0 {. c9 ^( I' u9 O* N
小白:先说说诞生期吧。
S: K+ c) k# [% y, D* q; g- ^$ l1 _' w7 L) Z+ E" o( E. \
5 p/ {) [# X" g. k# _( b! {5 F大东:诞生期自2001年,灰鸽子诞生之日起,就被反病毒专业人士判定为最具危险性的后门程序,并引发安全领域的高度关注。2004年、2005年、2006年,灰鸽子木马连续三年被国内各大杀毒厂商评选为年度十大病毒,灰鸽子也因此声名大噪,逐步成为媒体以及网民关注的焦点。/ R9 E9 m; d z {. M
/ K( G: M8 _& S; o6 r7 r+ S4 j+ j1 j7 @" b) j) b/ A
小白:最具危险性的后门程序,听上去很厉害嘛。% Z- h7 F) ~& @& F7 W- W) A
3 A2 ^" J8 G) y- K; F
% p1 [$ w3 h& b2 I+ D
大东:模仿时期,灰鸽子最早出现的时候是在模仿“冰河”。它采用Delphi编写,采用了源码共享的方式出现在互联网。虽然“灰鸽子”在当时的名气不及“冰河”,但由于开放源码的方式让“灰鸽子”逐渐增大了传播量。
$ v! H3 }& J4 m, N+ r. c
' Y, I; K" Y& u) g
+ w |2 L4 Z ~9 {小白:这么说来冰河是灰鸽子的“前辈”啦!那冰河也是远程控制软件吗?# C+ v8 v) e$ i" V
5 E& `! x+ U9 E: ^- o
) h6 s6 c9 K) J& n) _ L
大东:是的。冰河的可怕之处在于自动跟踪目标机屏幕变化,同时可以完全模拟键盘及鼠标输入、记录各种口令信息。还包括获取系统信息,例如计算机名、注册公司、当前用户等多项系统数据。远程关机、远程重启计算机、锁定鼠标及锁定注册表等多项功能限制也是他的拿手强项。
! h* ^: ~ p* B+ m0 D$ H2 |1 J8 b) |, M
# R I0 n9 J+ v! c小白:说远了,该说灰鸽子病毒飞速发展时期了。
9 p& `# Q5 t) B m( ?' P; C3 ~) e. h4 A/ {6 ^1 R8 }. B( H
% \0 S( \1 Q* |. } j
大东:2004和2005这两年之间,灰鸽子逐步进入了成熟的状态,由于源码的释放,大量变种在互联网中衍生。2004年灰鸽子总共发现了1000多变种,而在2005年,这个数字迅速上升到了3000多。
1 Z# x, s: m) Q, D6 i" H$ h+ G. r* ^, _6 ~
3 ?, \5 O: w1 @小白:变种也太快了吧?!; S. R2 {; Q0 f1 [" E6 ~+ x
: ?* k$ T: P7 P+ C
+ ^- l/ _4 D$ j2 {1 J0 W& `4 e大东:“灰鸽子”最大的危害在于潜伏在用户系统中,由于其使用的“反弹端口”原理,一些在局域网(企业网)中的用户也受到了“灰鸽子”的侵害,使得受害用户数大大提高。2004年的感染统计为103483人,而到2005年数字攀升到890321人。“灰鸽子”本身所具备的键盘记录、屏幕捕捉、文件上传下载和运行、摄像头控制等功能,将使用户没任何隐私可言,更可怕的是服务端高度隐藏自己,使受害者无从得知感染此病毒。7 n7 i3 q8 x+ C0 ^4 Q4 f
/ J; W4 Q P- [& d- F
- e% K" h* F h+ f. j% @, i小白:令人害怕!
! I$ S; F7 [3 h- c/ v 9 J5 c/ ~* W/ I: O; w
三、灰鸽子病毒清除办法: t/ R5 p3 M' @
: U! S. \- Y1 e6 ~3 m
! G2 u$ u/ ]8 E
大东: 但是利用一些检测方法就可以将灰鸽子揪出来。通过研究发现,无论自定义的服务器端文件名是什么,一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点,我们可以较为准确手工检测出灰鸽子服务端。
% S" M* g% h* i9 | X4 `2 ~- A, x9 p! ^# N" }
5 [; m: `7 A3 k8 [ J
小白:那是把“_hook.dll”结尾的文件删掉就可以吗?
) b# D z# q& ` j: S2 j+ [, F
' k0 x: G" B t+ h# V7 ?* h+ [/ |/ T7 B# q! t2 @% A& G
大东:当然不是那么简单。由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模式下进行,而且要把Windows设置成显示所有文件。并打开Windows的“搜索文件”,文件名称输入“_hook.dll”,搜索位置选择Windows的安装目录(默认98/xp为C:\windows,2k/NT为C:\Winnt)。经过搜索,在Windows目录(不包含子目录)下发现了一个名为Game_Hook.dll的文件。+ b0 ?# h& N' g, t2 x4 Y
0 H0 X8 V# o) T. }' J- I
3 f' [! e# j; S' g4 ]小白:这就是灰鸽子文件了吧! q7 l$ P7 T( ^( R _+ V
% b" ~: Z0 ]3 x0 x$ Y: A% z5 X
2 a/ d/ ]: b# p) Z大东:还不能确定。如果Game_Hook.DLL是灰鸽子的文件,则在操作系统安装目录下还会有Game.exe和Game.dll文件。这才是真正的灰鸽子的服务端,不能“冤枉”好人啊!) Y, j- j' S+ i D0 P0 ]6 ?4 q
- ~) k; R" r1 }8 {
% f4 F7 ]; X5 L# t$ z0 }2 \Game.exe和Game.dll。图片来源于网络 ! R) f/ E! q) j [5 z& d( w
, Y: Z+ `( i- f4 V0 ^9 u, W
( e$ k. o: [, p/ H! U0 H4 C9 |小白:原来是在这样。把这几个文件删除就可以和灰鸽子病毒say goodbye了吧!# X9 I s& E. }* x
$ @0 J+ x( w; X/ Q1 A6 |
& c- H" P2 d: b& h
大东:总共有两步,这只是其中的一步。首先清除灰鸽子的服务,注意一定要在注册表里完成。清除灰鸽子的服务一定要先备份注册表,或者到纯DOS下将注册表文件更名,然后再去注册表删除灰鸽子的服务。因为病毒会和EXE文件进行关联。
5 m& p7 d4 U# D5 S6 V e* q8 K
4 E3 E2 H7 x5 j5 F7 ]# s; }, I' K9 c5 e
小白:东哥,具体应该怎么做啊?教教我呗。6 G' j( z# v0 m$ m
: k7 S0 l0 y* o; {6 o( T$ u5 v
- h8 o ]; v, v* @, d
大东:第一步打开注册表编辑器(点击“开始”- “运行”,输入“Regedit.exe”,确定。),打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。第二步点击菜单“编辑” “查找”—“查找目标”输入“game.exe”,点击确定,我们就可以找到灰鸽子的服务项(此例为Game_Server,每个人这个服务项名称是不同的)。第三步删除整个Game_Server项。, e8 h5 n# T, P' e4 z
$ c2 I+ z5 j. o
. E8 j1 N8 _, J1 q
查找game.exe。图片来源于网络
/ @4 p; i( K) T1 l$ r3 U
0 |3 n7 x! X9 _# A; Z2 I小白:这其中的第二步是不是就是我刚才说的删除Game.exe和Game.dll。: s8 W: E) ]& Z6 L* c
# I9 V( L& W( H7 p, x5 X% H8 Q
& O9 e7 E/ Y1 G) l2 Z r! w9 s* _, r大东:bingo!你只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件,然后重新启动计算机,就彻底告别灰鸽子病毒了。
3 X. F, J* N- S$ @% F+ ^# P
( C, a. P4 Q+ p四、防范措施- ?: D9 o- c, m; n, J a
: F7 |# j# N7 @小白:东哥,那该如何防范灰鸽子这类病毒呢?4 X& F2 I1 S" v( y. R, G8 i
) ^; m! N3 G1 f+ s: p6 F
0 G4 E4 H7 d% z6 I大东:有些办法虽然有些原始,但总是最好用的。比如说给系统安装补丁程序。通过Windows Update安装好系统补丁程序(关键更新、安全更新和Service pack)。
& [, q& ^" p' f2 h; y
7 t+ U1 K r8 L+ I$ ?5 I* D _
, u9 [9 F6 E( {小白:东哥,我们老说打补丁,补丁的专业解释是什么呀?我们为什么要定期打补丁呢?
# K8 D Q6 a/ ^8 Q( L4 U; b3 M
{8 o$ R2 R6 L! y
9 i$ Y6 t6 r( Y- _5 t+ C大东:补丁就是操作系统的不定期错误漏洞修复程序。一般在开发过程中,一开始有很多因素是没有考虑到的,但是随着时间的推移,存在的漏洞问题会慢慢被发现。这时候,为了对系统本身存在的漏洞问题进行修复,系统开发者会发布相应的补丁。黑客如果利用这些漏洞,就可以得到计算机的控制权。5 W( \7 f0 U; j" L
& q: `$ @4 n7 w) R, O6 {
9 O" ?' k, @. k( H3 t" s0 W5 ?小白:东哥,还有类似的“原始”方法吗?: m/ N+ u2 C0 W, g* ^2 I2 c Q
; C( q3 ?2 I8 l& B# Y7 N' s
, @$ @& v% g+ b' J; \2 k' X2 H' L( ^1 N; }4 F; s' m" i
7 u1 b7 ^4 {# Z9 A* \! _大东:给系统管理员帐户设置足够复杂足够强壮的密码,最好能是10位以上,字母+数字+其它符号的组合;也可以禁用/删除一些不使用的帐户。如果记忆力够好,经常改变密码也是也是个不错的选择。
* v7 C0 F$ }* _& G# ^7 Z! \
; A) V$ F" |6 ], \7 f, W" X& c3 ?* z% T
小白:对,比如说我就经常换密码。
. _8 w) J. t6 [& H3 a: x0 m, G
* F- ~1 p+ E. t) i J5 p
' z0 { X* u+ A% R2 b2 F. T0 w大东:哎,不过你也总是忘记密码。不过单纯地讲,换密码这个习惯还是不错的。
9 }7 |! B, s1 r7 l
. e5 T4 Q; r9 G8 z! G0 g8 g. e4 |( V, I. _2 z
小白:东哥,你总揭我老底,就不能给我留点面子嘛?
: u) N6 @" T( z5 [' p4 X, G+ D3 L/ c: K# i8 _/ Y
4 v8 q2 f0 m2 B; C) m0 N. m大东:(装作听不见的样子) 嗯,我们继续说防范的方法。经常更新杀毒软件(病毒库),安装并合理使用网络防火墙软件是十分必要的。网络防火墙在防病毒过程中起到至关重要的作用,能有效地阻挡自来网络的攻击和病毒的入侵。
8 g, b! K) d7 j0 d/ h
# Y% d! B$ ~+ O2 ?/ P
( X7 \5 T: _( _" W& H小白:东哥,还有吗?6 X. R. X$ F+ y3 a! R7 o
# ?. Q2 t6 n( f Z6 Z: ?
! l) g! n; t/ \. k5 N- l* c- j1 ^大东:关闭一些不需要的服务,条件允许的话可以关闭没有必要的共享,也包括C$、D$等管理共享。完全单机的用户可直接关闭Server服务。
6 e1 |3 I; w0 y& z# K/ T. R2 o, ^# y1 q5 F' @
8 C V8 [) N4 E
小白:懂了。东哥,通过你刚才的讲解,我回忆起来了许多东西。
9 G2 ~' z& L( m) @/ ]# b
' b( E" c7 U6 J/ G {- _: j( U9 D. y" r' [+ g$ w
大东:温故而知新嘛!
6 N0 v0 C: a0 a$ Y. x6 J# f0 n2 H- A2 \+ |& X8 a6 p @
( J8 [0 x+ {$ B. ]
来源:中国科学院计算技术研究所 ?: u- D6 e; l) P4 L# r
& G) |- s6 _ H! |& q: R; y+ d/ b0 p) O
温馨提示:近期,微信公众号信息流改版。每个用户可以设置 常读订阅号,这些订阅号将以大卡片的形式展示。因此,如果不想错过“中科院之声”的文章,你一定要进行以下操作:进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」( m5 O% q, L' |% b4 [! c* R! n# i
" V& y7 E2 L0 u0 k% `( r1 V9 r
4 o/ q$ F6 b- l
" X' x h9 Z- z5 J" i
7 u. L. F, Q) b4 @& s) K0 i
6 t* P- D) q! R3 \* y1 k# a. H9 A$ S& a" t, X! P, q2 {
来源:http://mp.weixin.qq.com/s?src=11×tamp=1574510402&ver=1992&signature=Tvxe-dv0Pli2WOy8jx6-Hw7rnv9HYpasycZdOiA27ix8cPjxnROs0K1kkvdUU-4qOv15U3svsKSNcI-QAj5BtJGG0rX5r4iFdLPgzGOu9EXoWlxVCaXxE1chtktOJjK2&new=1
9 r4 L. e7 ^, q2 c: u- ?免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |