|
|
一、灰鸽子病毒事件
* v0 M6 {7 L- i5 h3 E9 ?$ I
. G. r9 H* A0 [+ v) R
v+ V8 }9 E& M3 }0 I m" L S9 s小白:东哥,我最近弄了个新鲜的东西,可以远程控制我家的家电,例如空调,电视,冰箱……! ~2 v( Z" e% t. o' {& J' o
! u8 q! e9 s" A' C$ i% \
( u, u7 v8 X) \/ v& O
大东:嗯,这个不错!& X' T" L/ C% ~" o
) C3 W1 g- A I& n& J
; ~+ u4 I( C5 }# A+ ]
手机远程控制空调。图片来源于网络
9 r* S" L8 Q/ {
# i( S% w L2 M7 M
# e- f$ d2 C6 j6 ~9 p6 @& o小白: 是啊,最便捷的是有手机、有WIFI就可以实现远程控制功能。9 s N6 b. _/ t
3 v, l8 M/ k' F5 z3 x, U4 F
6 a6 S: j5 d5 ^$ y$ ~" |! N大东:等一下,便捷中往往隐藏着“邪恶”,你可要小心灰鸽子病毒啊!* k( }+ e; {. E% @( ]; Q
5 I5 s* H, x* `6 N q# W' g' }
% i8 Y) a; |8 Z/ V, Y: Q( O
小白:灰鸽子病毒?
& v1 k7 b1 F2 T! d) O' L
/ d. N0 q- d. U+ u$ v) F" v5 c6 i% }& j( u$ P
大东:是的。灰鸽子本身是一款远程控制软件,但是因为恶意使用,又被认为是一个集多种控制方法于一体的木马病毒,一旦用户电脑不幸感染,可以说用户的一举一动都在黑客的监控之下,要窃取账号、密码、照片、重要文件都轻而易举。/ o7 d9 G7 C) u# S
V2 z$ Z- t2 N; F& B! |
+ y% `% S- t! S. y小白:我的天啊,那我的隐私岂不是完全暴露在大家的面前了?!
% h3 A) R6 T1 _
5 Y" k7 o# \7 J7 G" i4 N* m9 M" l0 W2 M3 A$ o/ H- L M
大东:不仅如此,他们还可以连续捕获远程电脑屏幕,还能监控被控电脑上的摄像头,自动开机(不开显示器)并利用摄像头进行录像。9 @5 ` N. X8 G
- T' s2 D4 B$ B! B b7 N* U |% N4 o) C5 G
小白:简直是太可怕了!假如我没洗头、没洗脸、穿着邋遢衣服的样子被拍了下来,上传到网上的话……
8 \8 {+ u/ J% B, D z, a
2 A8 c. q! a5 o/ W5 q' N1 n. _1 H1 }1 c4 H9 Q
& w5 g; P5 k4 u" r$ o& f8 @
) ^; W7 J% R/ ]0 `大东:emmmmm……你这个颜值估计上传了也没人看。我们言归正传,继续说灰鸽子的事。随着“灰鸽子2007”的发布,当年仅3月1日至13日,金山毒霸截获的灰鸽子变种数就达到521个。盗号、偷窥、敲诈以及骇人听闻的公开“叫卖”,危害更甚于熊猫烧香。+ I8 [4 b- N; p
0 l8 r) k( T$ e
' ]/ u; d# z3 [) t- [; M小白:这群人简直太可恶了!
- x1 E" ^: i a% @( ^+ I4 N
1 {* t/ i2 u' K( J) t% Q* T' P$ E# L8 g; N9 O
大东:而且灰鸽子已不再是一个单纯的病毒,其背后是一条制造病毒、贩卖病毒、病毒培训为一体的黑色产业链,从某种意义上讲,灰鸽子的危害超出熊猫烧香10倍!
/ ~2 S$ }, P9 l+ i1 T* ` $ k) T0 e: {+ A0 k, B# t: o a" W+ e
" [8 \% w0 [: M8 a3 r( m灰鸽子产业链示意图。图片来源于网络 - X& e% I% u# S9 `
9 C) v$ W$ Q5 a
小白:东哥,那我们就拿灰鸽子一点办法都没有吗?9 x& D8 o* Z" y* o. B$ F
_0 h+ H1 b/ D6 |6 i( _) ^/ k3 l. q1 m; v8 K/ O. Y
大东:灰鸽子虽然强大,但它并不是完美无缺的。让我为你解析一下这个难缠的病毒。& g4 p+ z( Z( F) `
9 O, i6 L4 L; {- z二、灰鸽子病毒发展史# \/ q5 ^! T' Y! w {7 W k9 Y
/ W) e; f* n' g! c" _1 M" x! t; {/ Y
& r* R* M# J& {8 G. Z& [: l# J
大东:先来说说灰鸽子病毒的发展史吧。$ e1 g- s7 C1 ]3 i- g6 ^3 o
4 a3 i( d/ o. B
: Y( H( N. O! |: J# p9 L' p小白:好呀,我最喜欢听历史了。0 u# m, ^, X" Z- t7 J
" o s; O$ o0 ~5 Y. @7 G# I5 `9 C( G8 A) ?5 c- j
大东:灰鸽子病毒发展分三个时期:诞生期、模仿期、飞速发展期。! t9 B: F% |, h2 p0 r6 R
% \; L4 G9 \8 L( A/ i) [( B. S
9 _- \ C! U. G- t- T% H小白:先说说诞生期吧。# s" s2 c0 F) }, c3 n5 l$ H; n
& @* q+ I2 [6 v2 [9 [
; X, e3 r6 k0 a0 q! K0 |大东:诞生期自2001年,灰鸽子诞生之日起,就被反病毒专业人士判定为最具危险性的后门程序,并引发安全领域的高度关注。2004年、2005年、2006年,灰鸽子木马连续三年被国内各大杀毒厂商评选为年度十大病毒,灰鸽子也因此声名大噪,逐步成为媒体以及网民关注的焦点。# x& R( [9 j- S3 M: ]* H+ ]
) u8 c) W) S( n# G6 ~6 i
8 Q3 X/ o4 M2 l5 ~小白:最具危险性的后门程序,听上去很厉害嘛。
5 Q9 {& c4 ]* k3 W# ^+ _( ]6 `
8 @$ K& |/ o% q2 w' u) D
/ P0 s9 f! Q q3 r' E/ X! s大东:模仿时期,灰鸽子最早出现的时候是在模仿“冰河”。它采用Delphi编写,采用了源码共享的方式出现在互联网。虽然“灰鸽子”在当时的名气不及“冰河”,但由于开放源码的方式让“灰鸽子”逐渐增大了传播量。
6 a2 w) l$ v' B5 w) t+ W, ^. S" L) Y5 I8 Y9 i; o$ L/ b
) }4 d: a4 U m- O9 p" F5 _
小白:这么说来冰河是灰鸽子的“前辈”啦!那冰河也是远程控制软件吗?
! H9 k6 Y% A' N8 w" }$ q
4 y, B) }/ r/ b" z' j% u6 g
9 B& G, T) n: j3 F, W7 A大东:是的。冰河的可怕之处在于自动跟踪目标机屏幕变化,同时可以完全模拟键盘及鼠标输入、记录各种口令信息。还包括获取系统信息,例如计算机名、注册公司、当前用户等多项系统数据。远程关机、远程重启计算机、锁定鼠标及锁定注册表等多项功能限制也是他的拿手强项。6 }8 j( q) ?9 i. y# j. J7 K
, c$ L; J! c+ Q
4 S4 u* ~# `- h5 @+ e( _, p
小白:说远了,该说灰鸽子病毒飞速发展时期了。- P! A% O' U( c) P- i
" d5 S4 o0 _0 e' W3 I4 W* K: F
! P! P# y+ \* |6 j8 C大东:2004和2005这两年之间,灰鸽子逐步进入了成熟的状态,由于源码的释放,大量变种在互联网中衍生。2004年灰鸽子总共发现了1000多变种,而在2005年,这个数字迅速上升到了3000多。3 Y, M/ _) r4 b q
6 }7 L9 I5 _! q
/ K2 a( D% p, m( e/ j" a+ A
小白:变种也太快了吧?! V4 |+ r9 \0 ^
. M7 ?- V% q6 Y. L0 _7 h' ?
/ J! z/ \0 r3 ~! Q2 e
大东:“灰鸽子”最大的危害在于潜伏在用户系统中,由于其使用的“反弹端口”原理,一些在局域网(企业网)中的用户也受到了“灰鸽子”的侵害,使得受害用户数大大提高。2004年的感染统计为103483人,而到2005年数字攀升到890321人。“灰鸽子”本身所具备的键盘记录、屏幕捕捉、文件上传下载和运行、摄像头控制等功能,将使用户没任何隐私可言,更可怕的是服务端高度隐藏自己,使受害者无从得知感染此病毒。
+ ?; c- G9 `2 W* S* E* g, k0 c4 Y1 g: r4 H- o8 p
; H7 J8 u/ ^ T, |6 J5 \' u
小白:令人害怕!5 g, |) f4 N2 U
: |/ Q# i! \1 e$ d+ t7 @三、灰鸽子病毒清除办法
8 T+ V& f6 M' l' y3 ?) ?4 j& Z! z( p
3 M* g$ F% y' \0 m4 R% I$ N0 B; r
大东: 但是利用一些检测方法就可以将灰鸽子揪出来。通过研究发现,无论自定义的服务器端文件名是什么,一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点,我们可以较为准确手工检测出灰鸽子服务端。
6 z( b3 f- Q& h" g2 a6 J) h r+ F1 |- }3 x. V% I
& v3 S( ?/ p: Z+ X4 u2 J, B. N% X4 ?* l小白:那是把“_hook.dll”结尾的文件删掉就可以吗?7 Y. L! |7 P; z i
: F- x- ?/ P. U8 Z. ] O( J+ ~
/ L( Y# {4 ~2 z ]大东:当然不是那么简单。由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模式下进行,而且要把Windows设置成显示所有文件。并打开Windows的“搜索文件”,文件名称输入“_hook.dll”,搜索位置选择Windows的安装目录(默认98/xp为C:\windows,2k/NT为C:\Winnt)。经过搜索,在Windows目录(不包含子目录)下发现了一个名为Game_Hook.dll的文件。
& Z G9 \( ~( h0 {( n6 o h# h; k; K) {2 t; F: X
( K8 Q/ s1 b2 z0 v小白:这就是灰鸽子文件了吧!# o- @* D7 O4 c; H' B) b
! v8 a5 u0 C/ f+ R" H$ S) |
. k4 L, h s% Y1 P; O: Z
大东:还不能确定。如果Game_Hook.DLL是灰鸽子的文件,则在操作系统安装目录下还会有Game.exe和Game.dll文件。这才是真正的灰鸽子的服务端,不能“冤枉”好人啊!7 q/ Z9 d- ^" R& O; ~
: f% m( J+ E- |2 u( \8 x+ X" ?8 Z# c. B" ]' i
Game.exe和Game.dll。图片来源于网络
) R0 X$ ^+ H- q9 m9 {& p5 l. }0 S( [3 z7 m4 a J) l! f6 d S/ P
4 l3 b) w9 [2 ]/ U9 O9 X
小白:原来是在这样。把这几个文件删除就可以和灰鸽子病毒say goodbye了吧!7 X" g/ w8 o* T4 e2 Q
3 a1 r; J5 `3 N# m& p T; W% r' Z/ H
. U$ w8 d0 [2 U) U
大东:总共有两步,这只是其中的一步。首先清除灰鸽子的服务,注意一定要在注册表里完成。清除灰鸽子的服务一定要先备份注册表,或者到纯DOS下将注册表文件更名,然后再去注册表删除灰鸽子的服务。因为病毒会和EXE文件进行关联。: D: h% C, r1 L Q' n9 y' Q2 @: Q
3 m. u5 T; r( o
& O! `+ K2 x! ~% O3 ?+ z! b2 `" C小白:东哥,具体应该怎么做啊?教教我呗。9 A# |$ o8 w3 _
# k; V3 W/ L' [& J$ C! M6 m& H
% K2 b4 ^3 f W4 W3 Q2 s5 r9 a大东:第一步打开注册表编辑器(点击“开始”- “运行”,输入“Regedit.exe”,确定。),打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。第二步点击菜单“编辑” “查找”—“查找目标”输入“game.exe”,点击确定,我们就可以找到灰鸽子的服务项(此例为Game_Server,每个人这个服务项名称是不同的)。第三步删除整个Game_Server项。
0 o- |5 s" g5 w7 z7 C
8 t# t. b1 J# T$ h! s, W7 s( T
" D+ h4 H. g* `查找game.exe。图片来源于网络 ) T1 H" x2 H) e* H, d$ C
9 K- ]7 W, ~; \9 ]. J0 X- J/ J
小白:这其中的第二步是不是就是我刚才说的删除Game.exe和Game.dll。
( k! _6 F" h( }' g0 f- _4 @6 S# a
4 @0 Z% @/ F O* K- i
+ ?4 V( `. w; l! U/ Q8 m大东:bingo!你只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件,然后重新启动计算机,就彻底告别灰鸽子病毒了。
?: s4 u+ ~" r0 I + ~# q: z5 t+ @8 X3 {
四、防范措施% T: ?3 j5 v1 f4 m; d/ O I" K+ M3 s
+ u! g: m4 `% W. x& N( U
小白:东哥,那该如何防范灰鸽子这类病毒呢?# q8 @7 E; P( u/ }5 o: s
3 ]1 G( l' w- j& Y- V4 W& h5 P
, d9 I: x" }; K$ S7 B0 b) ]1 m4 n大东:有些办法虽然有些原始,但总是最好用的。比如说给系统安装补丁程序。通过Windows Update安装好系统补丁程序(关键更新、安全更新和Service pack)。* [( E+ d) _/ L( o7 M
i$ r4 \) S3 e+ a6 g* I
( \7 Y0 M) i0 |9 \4 y/ f% G% b
小白:东哥,我们老说打补丁,补丁的专业解释是什么呀?我们为什么要定期打补丁呢?
! v8 C+ _8 c. M7 H% z: Q- q- V2 d* Z. h: \, H6 X
* |$ I. \0 A& b9 {5 d) U7 [
大东:补丁就是操作系统的不定期错误漏洞修复程序。一般在开发过程中,一开始有很多因素是没有考虑到的,但是随着时间的推移,存在的漏洞问题会慢慢被发现。这时候,为了对系统本身存在的漏洞问题进行修复,系统开发者会发布相应的补丁。黑客如果利用这些漏洞,就可以得到计算机的控制权。
* P8 W5 V0 g0 h: m, O7 A' X) ]8 I" a+ W6 K. t# H
$ @: {0 e7 G. b% D# T0 G
小白:东哥,还有类似的“原始”方法吗?6 \( e* x j. g, `
% I/ c' G- d: Y* h& {& a, P9 [9 W$ W
6 c- D" S* Q2 S9 i" Z# z
* V. U8 K. J2 o9 d. D) N& J
大东:给系统管理员帐户设置足够复杂足够强壮的密码,最好能是10位以上,字母+数字+其它符号的组合;也可以禁用/删除一些不使用的帐户。如果记忆力够好,经常改变密码也是也是个不错的选择。
8 M& [) ]1 q* y% }+ W. b% t" ^# E1 V. z% K) V- K+ T! _$ A
. L" E0 B& j- D& r0 K: P7 b6 S1 Q
小白:对,比如说我就经常换密码。$ E' _4 {* m) h" N
; d, k7 Q! I n6 p/ X3 f
5 T' A: D: k* n8 R) d6 F大东:哎,不过你也总是忘记密码。不过单纯地讲,换密码这个习惯还是不错的。
% [) B) ^$ C4 h# I6 Q9 c- Y' x9 j6 C7 f& s# x9 M
9 i9 I. Q/ K. q1 R5 ~小白:东哥,你总揭我老底,就不能给我留点面子嘛?+ R3 X# A" Y( |, w* G7 @
% S' t, W k7 `5 N; ?* ]# @+ [) \# p- B! _4 V8 q
大东:(装作听不见的样子) 嗯,我们继续说防范的方法。经常更新杀毒软件(病毒库),安装并合理使用网络防火墙软件是十分必要的。网络防火墙在防病毒过程中起到至关重要的作用,能有效地阻挡自来网络的攻击和病毒的入侵。. i& r0 s' v+ m5 m8 ]
) O* [) [' d2 _( b* G7 K
* N. k$ g$ l; A: t9 T小白:东哥,还有吗?+ _" [# f2 m, g! Y; R( t+ `
9 ]# q: |3 R8 e g8 N9 H0 i
7 ]) i' g/ B' }4 K- s8 o/ L1 u大东:关闭一些不需要的服务,条件允许的话可以关闭没有必要的共享,也包括C$、D$等管理共享。完全单机的用户可直接关闭Server服务。. F& Z* S% l# R9 D7 ~5 T5 M
' f2 m0 m9 o3 k3 _
0 s, k$ R, Z+ D5 N1 |" n小白:懂了。东哥,通过你刚才的讲解,我回忆起来了许多东西。- Z& J2 g4 A5 ?: p$ l, E% w% d0 @& H
8 O+ G* S' f; f( \+ L% Z
! l( l# s: m/ l* c+ r+ M# M大东:温故而知新嘛!
( [: a. g0 F2 q5 [2 V+ V9 K4 J% d) O8 X
: k% s3 J: {( H D! d
来源:中国科学院计算技术研究所
& N) r6 K/ O+ w- Y
4 ?$ V0 o( N6 q1 }4 l; v! x2 u" s9 s) l% `& Q6 g
温馨提示:近期,微信公众号信息流改版。每个用户可以设置 常读订阅号,这些订阅号将以大卡片的形式展示。因此,如果不想错过“中科院之声”的文章,你一定要进行以下操作:进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」
, ~- v B/ ~6 |9 a/ W
; |( E+ k) E7 Y5 N
! v& ~9 D, e1 u4 M9 w1 q, c- r, T% y7 j7 h8 I( s3 o: a
4 e9 }1 t- I; H9 i
 4 L( Q0 y8 d, E$ X9 b1 Q3 }% [
" _& v3 p; \( `$ A2 y* V- a5 X3 ]! y来源:http://mp.weixin.qq.com/s?src=11×tamp=1574510402&ver=1992&signature=Tvxe-dv0Pli2WOy8jx6-Hw7rnv9HYpasycZdOiA27ix8cPjxnROs0K1kkvdUU-4qOv15U3svsKSNcI-QAj5BtJGG0rX5r4iFdLPgzGOu9EXoWlxVCaXxE1chtktOJjK2&new=1+ ]& I1 B# {% z2 m4 Y% ?
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?立即注册
×
|
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-11-23 20:40:29
