|
|
一、灰鸽子病毒事件
; z# E& F: k* ^8 N3 b: S9 r6 J( W0 v, ^) z) H7 f1 b8 Y
( T# |! l( ]! p9 _) g9 i. u, A小白:东哥,我最近弄了个新鲜的东西,可以远程控制我家的家电,例如空调,电视,冰箱……
& F! o# A4 w1 l( ^! N, g
4 v+ ^3 ?2 \& E# m! s8 |
& c/ w: U: F/ C n* K/ W( B大东:嗯,这个不错!: I3 E0 {# b8 l# M/ @: m1 S7 N% ?
6 y! l! w3 Q% d: }
/ H9 u$ N1 }, @手机远程控制空调。图片来源于网络
: ~$ O) |( I7 v! s! S7 S: [: s' j/ T: d- S
H/ J: m2 X) h# B6 N$ F5 [
小白: 是啊,最便捷的是有手机、有WIFI就可以实现远程控制功能。
W. X; v# ^) o1 m# G X; ^: l5 h" y4 {# f2 @8 i
( | z* ]" f5 g T大东:等一下,便捷中往往隐藏着“邪恶”,你可要小心灰鸽子病毒啊!( x) T, c. n5 q' X
5 g% g- A6 `. `7 j$ J3 _: `& {! m
小白:灰鸽子病毒?
$ M8 V% G* T" ]- A/ N5 r) ]) h: f) ^1 f) v$ L
7 D$ k8 E( r2 g
大东:是的。灰鸽子本身是一款远程控制软件,但是因为恶意使用,又被认为是一个集多种控制方法于一体的木马病毒,一旦用户电脑不幸感染,可以说用户的一举一动都在黑客的监控之下,要窃取账号、密码、照片、重要文件都轻而易举。
m8 z o4 z2 b6 k% a) d% t, f' g. S, i2 |, b, l; f& k
6 ~- }/ X: M2 I4 b& \小白:我的天啊,那我的隐私岂不是完全暴露在大家的面前了?!
* B; P* ^, C7 N+ I' |* O2 P8 J
/ L( h; |: q# p+ }6 R" u3 o3 o) ?5 K) ]5 |
大东:不仅如此,他们还可以连续捕获远程电脑屏幕,还能监控被控电脑上的摄像头,自动开机(不开显示器)并利用摄像头进行录像。
" q6 a3 a; j" U+ D. L0 ?; E0 }; C% {/ I) f4 S8 i# T' A
% ~0 E0 ~' J* y! n1 |# C" e
小白:简直是太可怕了!假如我没洗头、没洗脸、穿着邋遢衣服的样子被拍了下来,上传到网上的话……1 I; R8 Q( o5 j. i
& j. v7 c8 r' r& p1 V8 ^5 U8 W. u' y
, {, q; i. N& U& h" O1 H$ t B+ M+ J+ j$ B: L
大东:emmmmm……你这个颜值估计上传了也没人看。我们言归正传,继续说灰鸽子的事。随着“灰鸽子2007”的发布,当年仅3月1日至13日,金山毒霸截获的灰鸽子变种数就达到521个。盗号、偷窥、敲诈以及骇人听闻的公开“叫卖”,危害更甚于熊猫烧香。
- `( y+ C& o, y6 N# I% i
, K$ r6 e% X# p4 D; H8 ^% _& E/ }: X. p
小白:这群人简直太可恶了!4 M3 u+ |, f, T$ N
! @* f% q0 i ] U- p
/ W! v; b& X% ]+ f9 [大东:而且灰鸽子已不再是一个单纯的病毒,其背后是一条制造病毒、贩卖病毒、病毒培训为一体的黑色产业链,从某种意义上讲,灰鸽子的危害超出熊猫烧香10倍!
y) b/ D8 K% x$ j3 B1 |
R2 n$ C, P: t: L+ ~( A |
7 T" x7 i7 T4 k' t0 |3 Z灰鸽子产业链示意图。图片来源于网络
. B9 S9 T |$ C# S: s
: ^8 F7 i0 O: f, L+ j小白:东哥,那我们就拿灰鸽子一点办法都没有吗?8 _2 M0 b/ F h1 P, _0 @+ ?0 T
- k& o6 w3 S' Q) \5 J/ t1 j1 Y9 O& q
大东:灰鸽子虽然强大,但它并不是完美无缺的。让我为你解析一下这个难缠的病毒。
; U7 v. I, n6 U* S7 ` 4 g1 L; X! w/ _9 b, b
二、灰鸽子病毒发展史8 B3 A8 Z3 U" U# b
2 v0 Z: H$ q9 M4 a, G- }7 }/ L! E& [9 S
大东:先来说说灰鸽子病毒的发展史吧。; \& _/ b2 O3 |& Q: }+ K6 E. K
+ @3 S0 D3 ^* e; H0 Y5 }' h9 B: _- L2 x" K' r
小白:好呀,我最喜欢听历史了。/ t5 U/ z# Q1 v- Z" B; t9 u
. i) g$ T @5 R5 a
* M) j! b1 a- l4 G大东:灰鸽子病毒发展分三个时期:诞生期、模仿期、飞速发展期。! u' Z+ j V1 k" R
, {$ z H; E* ]. T
, @" n' v: u' }. V$ N小白:先说说诞生期吧。
, S k: @# I% n1 P' P3 S! r0 c" d$ S
" y* Z4 V f& O
大东:诞生期自2001年,灰鸽子诞生之日起,就被反病毒专业人士判定为最具危险性的后门程序,并引发安全领域的高度关注。2004年、2005年、2006年,灰鸽子木马连续三年被国内各大杀毒厂商评选为年度十大病毒,灰鸽子也因此声名大噪,逐步成为媒体以及网民关注的焦点。0 C$ G( K4 H& n& Z w1 D' R
# N @% ~: @- D: I& b! T i, B1 P# O8 X& r1 T3 Q
小白:最具危险性的后门程序,听上去很厉害嘛。
9 }$ ~; }2 {8 q5 |: b6 ~
$ }0 Y2 C. F. c; h. G* U; n# S( g, c
大东:模仿时期,灰鸽子最早出现的时候是在模仿“冰河”。它采用Delphi编写,采用了源码共享的方式出现在互联网。虽然“灰鸽子”在当时的名气不及“冰河”,但由于开放源码的方式让“灰鸽子”逐渐增大了传播量。8 m) D! r6 N2 w7 R
! R* \) E# K7 `
* I4 m1 o! _0 R$ ^) n: i小白:这么说来冰河是灰鸽子的“前辈”啦!那冰河也是远程控制软件吗?7 @; i( o5 |. E, Q
2 r. N. Z1 f2 ]& v! N
8 y3 h- Z: V3 F! P, `" e. t
大东:是的。冰河的可怕之处在于自动跟踪目标机屏幕变化,同时可以完全模拟键盘及鼠标输入、记录各种口令信息。还包括获取系统信息,例如计算机名、注册公司、当前用户等多项系统数据。远程关机、远程重启计算机、锁定鼠标及锁定注册表等多项功能限制也是他的拿手强项。% d4 R6 {# R* O" }
- P( f8 r% O3 j/ }2 I* L
! b- X5 q- y7 _* C; z3 Z! }
小白:说远了,该说灰鸽子病毒飞速发展时期了。* y9 p- v7 c( g9 ?7 e
, K: H: f) P. w
; t- V. o! X9 F# {, y% x1 E2 [
大东:2004和2005这两年之间,灰鸽子逐步进入了成熟的状态,由于源码的释放,大量变种在互联网中衍生。2004年灰鸽子总共发现了1000多变种,而在2005年,这个数字迅速上升到了3000多。0 k4 U, s: V1 Y% O5 H# o
% u. G3 n( ]; E0 u. h
, d) f! o9 W. N小白:变种也太快了吧?!
9 ^& G: w2 W8 k) D" H6 {- P9 i
7 {/ k W M* E3 `& e& a2 v
: L9 S; f! d" ]5 ^1 Z) z大东:“灰鸽子”最大的危害在于潜伏在用户系统中,由于其使用的“反弹端口”原理,一些在局域网(企业网)中的用户也受到了“灰鸽子”的侵害,使得受害用户数大大提高。2004年的感染统计为103483人,而到2005年数字攀升到890321人。“灰鸽子”本身所具备的键盘记录、屏幕捕捉、文件上传下载和运行、摄像头控制等功能,将使用户没任何隐私可言,更可怕的是服务端高度隐藏自己,使受害者无从得知感染此病毒。1 X) a0 l9 e& _8 j" t
: Y) g, g5 A3 J/ n
7 Y. |# X( }( H小白:令人害怕!
& J+ A+ S- U* q$ i3 X+ x6 g$ D
& @7 g- c6 L+ D三、灰鸽子病毒清除办法# u) c& [* g4 {( ^6 |
( T* b( _: I& Q% o5 Y- x3 V' q# z; L* R6 ^" T- z( t
大东: 但是利用一些检测方法就可以将灰鸽子揪出来。通过研究发现,无论自定义的服务器端文件名是什么,一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点,我们可以较为准确手工检测出灰鸽子服务端。
0 ^. [3 F) p( h/ @: s
( z4 k5 Y1 G0 X6 ^5 `0 Q; d8 f3 t7 C! }
小白:那是把“_hook.dll”结尾的文件删掉就可以吗?
# x ]& O! W3 J1 s3 d* p
- M" i; ]9 @) `; X' V" w1 p) `0 T, p p# J K
大东:当然不是那么简单。由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模式下进行,而且要把Windows设置成显示所有文件。并打开Windows的“搜索文件”,文件名称输入“_hook.dll”,搜索位置选择Windows的安装目录(默认98/xp为C:\windows,2k/NT为C:\Winnt)。经过搜索,在Windows目录(不包含子目录)下发现了一个名为Game_Hook.dll的文件。8 Y9 f p! R, Z+ d _, d7 v
$ `9 f; L; ]3 q7 g n! d6 l
0 h, W4 q8 ^. t& {* \( p' U. q小白:这就是灰鸽子文件了吧!
. [* z2 U& X r; q7 q/ W0 X) n( i3 Y' B: R0 k
" s2 |% l' y5 \1 b; v9 }5 j
大东:还不能确定。如果Game_Hook.DLL是灰鸽子的文件,则在操作系统安装目录下还会有Game.exe和Game.dll文件。这才是真正的灰鸽子的服务端,不能“冤枉”好人啊!
1 E: ^# |& w- u/ c3 J
3 B3 J( t: h7 d; U' j6 c2 L; h2 K& _4 \: W% d& v" F b9 K( x
Game.exe和Game.dll。图片来源于网络 . n1 U2 W5 P6 {* Z
Y$ E! p& w! l/ _1 l% h" r9 e
2 H$ k2 [3 U5 L* n; o/ ^小白:原来是在这样。把这几个文件删除就可以和灰鸽子病毒say goodbye了吧!
& ]0 s/ ?% I4 d4 \" Y7 R
# v# k" f/ y* i; [. b1 W X+ A& ^
4 f4 X, w* h' q% B大东:总共有两步,这只是其中的一步。首先清除灰鸽子的服务,注意一定要在注册表里完成。清除灰鸽子的服务一定要先备份注册表,或者到纯DOS下将注册表文件更名,然后再去注册表删除灰鸽子的服务。因为病毒会和EXE文件进行关联。% y3 K/ ]( n9 H0 u5 z: c8 t1 q
`" A- l& |5 I1 q" U
) ~5 z4 `1 ]5 ] ]# Q
小白:东哥,具体应该怎么做啊?教教我呗。 x3 b) ^7 E! A, s+ q
% ]: Y4 j. z8 m& `' V
" q% x3 u! v9 [: Z( ]大东:第一步打开注册表编辑器(点击“开始”- “运行”,输入“Regedit.exe”,确定。),打开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。第二步点击菜单“编辑” “查找”—“查找目标”输入“game.exe”,点击确定,我们就可以找到灰鸽子的服务项(此例为Game_Server,每个人这个服务项名称是不同的)。第三步删除整个Game_Server项。1 T! }! t/ [( }
6 N/ `; Q( ~/ {3 X
% r* p" J' Z+ n7 H6 t: W
查找game.exe。图片来源于网络 & T$ [" A! F1 h( @: n% h
9 y+ X- ?+ G3 j! c7 }2 Q小白:这其中的第二步是不是就是我刚才说的删除Game.exe和Game.dll。0 n v/ Z, I: _9 @
% J+ f- Y$ B8 Y% J/ _6 ~
5 {4 K9 m% a. }1 q4 c大东:bingo!你只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件,然后重新启动计算机,就彻底告别灰鸽子病毒了。
0 U6 X. m* c: Q
" n4 u. D! I1 ]1 O四、防范措施
, _, u6 d; e9 Y
" B) _: d7 R1 u, g/ ]小白:东哥,那该如何防范灰鸽子这类病毒呢?
/ Z* Y6 W6 Q6 Z# G7 c
v3 y4 x, P) V) J! G4 Y+ X/ h0 e
大东:有些办法虽然有些原始,但总是最好用的。比如说给系统安装补丁程序。通过Windows Update安装好系统补丁程序(关键更新、安全更新和Service pack)。
. v9 }6 E+ u6 \: Y' x; k7 r
6 W8 k# g1 |; ^# [1 @$ }# b: L6 _. s' P( M4 t6 o3 z
小白:东哥,我们老说打补丁,补丁的专业解释是什么呀?我们为什么要定期打补丁呢?
$ b3 g* i' l; i
5 ~, {+ I3 d3 B+ o, r2 O1 H
* d' _* A( S% Q$ G9 k大东:补丁就是操作系统的不定期错误漏洞修复程序。一般在开发过程中,一开始有很多因素是没有考虑到的,但是随着时间的推移,存在的漏洞问题会慢慢被发现。这时候,为了对系统本身存在的漏洞问题进行修复,系统开发者会发布相应的补丁。黑客如果利用这些漏洞,就可以得到计算机的控制权。
/ t2 p3 R/ T4 K3 H4 o4 V, r6 f" Q" D1 L0 ?
9 c" `+ \8 B' g$ a `: V! h E
小白:东哥,还有类似的“原始”方法吗?: ~: m, a, L b! a$ u8 F3 \
. w6 S) |2 W% u( ^4 p9 Y1 P# w, h
9 I4 h8 L; K4 c6 U2 N
% r; j/ G, i$ J( J6 G
( V# D& b0 l8 ~; j
大东:给系统管理员帐户设置足够复杂足够强壮的密码,最好能是10位以上,字母+数字+其它符号的组合;也可以禁用/删除一些不使用的帐户。如果记忆力够好,经常改变密码也是也是个不错的选择。
7 i7 G3 a9 W7 A8 y0 Z: j: ~
+ g" e- I1 ^0 @0 N2 [4 C7 N8 n3 K+ S7 _: L" n) `3 F+ g, b5 c
小白:对,比如说我就经常换密码。
& y* J- n5 `: U
0 z0 y+ T, `5 U; ^" e$ B. X# \! Z& t; W7 X+ A% E b
大东:哎,不过你也总是忘记密码。不过单纯地讲,换密码这个习惯还是不错的。
* F+ d; y9 I# j( q( l+ e8 V) p0 M; j1 }9 f: g% W h8 I& ^0 P+ I
z. A5 D; `$ \3 k& c
小白:东哥,你总揭我老底,就不能给我留点面子嘛?( f9 L5 V6 B! E6 ~! Y3 _* o
" s) [4 N& f$ F4 o2 @: o1 Q# i) Q- Q. v
+ e8 V; _7 f1 M h3 j: v2 \大东:(装作听不见的样子) 嗯,我们继续说防范的方法。经常更新杀毒软件(病毒库),安装并合理使用网络防火墙软件是十分必要的。网络防火墙在防病毒过程中起到至关重要的作用,能有效地阻挡自来网络的攻击和病毒的入侵。
, H' c* J5 } h3 M& r/ }
9 b1 v/ B5 M$ c o- c5 @% L3 ?' C9 K2 V: k
小白:东哥,还有吗?5 U8 a+ H8 q1 \+ X! }
( g# D; r3 Z' c/ }* v
& l- f! x Z" V( b6 p( a/ D. I4 q
大东:关闭一些不需要的服务,条件允许的话可以关闭没有必要的共享,也包括C$、D$等管理共享。完全单机的用户可直接关闭Server服务。" r" ~! v, d: Z* r9 N2 A# A
$ l6 f: a0 a g2 U# I) u0 z
* x/ g( }* ?$ r小白:懂了。东哥,通过你刚才的讲解,我回忆起来了许多东西。
" \; w8 H" N$ o7 k$ h& ^2 b% [ U" M8 I/ X+ D) \
, y2 R( t/ \7 h, _4 n4 ^! X
大东:温故而知新嘛!
4 l0 K9 v. O6 l9 ]- n2 F* j# e: d9 t0 f0 N2 c' A5 }
/ H! v* I( L$ @& |$ _0 L! A来源:中国科学院计算技术研究所6 B$ {# C# X4 Z9 u
: ?5 d6 u! q7 H
3 G# ]* m' a' [( M. w `5 A0 D) S3 H温馨提示:近期,微信公众号信息流改版。每个用户可以设置 常读订阅号,这些订阅号将以大卡片的形式展示。因此,如果不想错过“中科院之声”的文章,你一定要进行以下操作:进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」
+ ^9 ?; P$ i2 p5 V. Y5 | @7 B' b
# m s+ m1 E, y6 q0 y) U; e0 ?0 | ~/ |+ [/ E# V% X
' h9 i2 N# R3 g" U3 V
! f! X4 n/ l$ c
7 Y! d4 x' K% k9 ^5 X/ |/ g' [$ ~) A
1 w8 d3 v. [' {( `. ?# p1 I来源:http://mp.weixin.qq.com/s?src=11×tamp=1574510402&ver=1992&signature=Tvxe-dv0Pli2WOy8jx6-Hw7rnv9HYpasycZdOiA27ix8cPjxnROs0K1kkvdUU-4qOv15U3svsKSNcI-QAj5BtJGG0rX5r4iFdLPgzGOu9EXoWlxVCaXxE1chtktOJjK2&new=1
% n% A2 m+ n3 j& n4 U- z7 |% C免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?立即注册
×
|
/6 
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-11-23 20:40:29
